lswcap
作为 npm 包管理工具发布的 UAParser.js 是一个执行用户代理判断处理的 JavaScript 库,已被 1000 多个项目采用,包括 Facebook、微软、亚马逊和谷歌等巨头公司。据称,UAParser.js 被黑客劫持并植入木马,针对 Linux 和 Windows 设备进行加密资产挖掘和密码窃取。
UAParser.js 是一个库,用于通过分析访问网站的用户的用户代理字符串来识别浏览器类型、渲染引擎、操作系统和 CPU 设备类型和模型。由于它的实用性,它被用于许多项目,包括 Facebook、微软、亚马逊、谷歌、Instagram、Slack、Mozilla、Discord 等,并且非常受欢迎,每周下载数百万次。据报道,截至10月23日,2021年10月的下载量将超过2400万。
然而,在10月22日在npm上发布的新版UAParser.js中,发现了一个在下载的Linux和Windows设备上安装恶意代码的木马。开发人员 Faisal Salman 在错误报告中道歉,并意识到在来自数百个网站的大量垃圾邮件之后发生了一些变化。他们说他们好像已经发布了0.8.0,1.0.0。它补充说它安装了恶意代码,从与之前版本的不同可以看出。
当黑客安装受感染的 UAParser.js 时,preinstall.js 脚本会检查设备上使用的操作系统类型,并相应地执行 Linux shell 脚本或 Windows 批处理文件。如果设备是Linux,则执行preinstall.sh脚本检查用户是否在俄罗斯、乌克兰、白俄罗斯或哈萨克斯坦,并执行jsextension程序。 jsextension 程序安装了XMRig,一种用于挖掘加密资产Monero 的工具,并且仅使用用户难以检测到的50% 的CPU 来挖掘Monero。
如果设备是Windows,除了将XMRig 保存为jsextension.exe 外,下载批处理文件sdd.dll 并保存为create.dll。它是一个特洛伊木马程序,它试图窃取下载的 DLL 中存储的密码,它很可能是 DanaBot。加载 DLL 时,消息应用程序、浏览器、FTP 客户端、VNC 游戏应用程序和 Windows 凭据管理器等程序也被报告窃取密码。
假设执行此攻击的黑客与对其他 npm 库执行类似攻击的黑客相同。开发人员发布了一个干净的 UAParser.js 版本 0.7.30,0.8.1,1.0.1,在了解 npm 帐户黑客攻击几个小时后修复了该问题。目前,有缺陷的封装有 0.7.29、0.8。
该报告指出,通过 UAParser.js 进行的供应链攻击的影响是广泛的,所有用户都应确保其项目不包含恶意版本。如果有 jsextension 和 jsextension.exe 删除它们,对于 Windows 用户,您需要快速删除 create.dll。
此外,据认为只有 Windows 用户会感染密码窃取木马,但对于 Linux 用户来说,假设他们的设备也有风险是明智的。建议是所有感染木马的 Windows 和 Linux 用户都需要更改他们的密码和令牌。相关信息可以在这里找到。
Add comment