Een populaire JavaScript-bibliotheek die wordt gebruikt door grote wereldwijde technologiebedrijven, is het doelwit van hackers om malware te verspreiden en wachtwoord-stealers en cryptocurrency-miners op de machines van slachtoffers te installeren.
De JavaScript-bibliotheek UAParser.js, die meer dan 7 miljoen keer per week wordt gebruikt, wordt gebruikt om User-Agent-gegevens met een klein voetafdruk te detecteren, zoals de browser en het besturingssysteem van een bezoeker, en wordt gebruikt door onder meer Facebook, Microsoft, Amazon, Reddit en nog veel meer techgiganten.
Bij de kaping van het pakket, dat naar verluidt op 22 oktober plaatsvond, publiceerde een dreigingsactor kwaadaardige versies van de UAParser.js-bibliotheek om Linux- en Windows-machines te targeten.
Als het naar een machine van het slachtoffer was gedownload, had het kwaadaardige pakket hackers in staat kunnen stellen om gevoelige informatie te verkrijgen of de controle over hun systeem over te nemen, volgens een waarschuwing van de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) op vrijdag.
Volgens de auteur van het pakket, Faisal Salman, kreeg de dreigingsactor toegang tot het account van de ontwikkelaar en gebruikte het om de geïnfecteerde versies te verspreiden tijdens een discussie op GitHub.
Salman verontschuldigde zich voor de omstandigheden en zei:"Ik merkte iets ongewoons op toen mijn e-mail plotseling werd overspoeld door spam van honderden websites. Ik denk dat iemand mijn npm-account kaapte en enkele gecompromitteerde pakketten publiceerde (0.7.29, 0.8.0, 1.0. 0) die waarschijnlijk malware zal installeren."
Nadat hij de geïnfecteerde versies had geïdentificeerd, markeerde Salman ze allemaal omdat ze malware bevatten en verwijderde ze ze van het platform.
Een getroffen gebruiker analyseerde de gehackte pakketten en ontdekte een script dat probeerde zijn OS-inloggegevens en een kopie van het cookies-DB-bestand van zijn Chrome-browser te exporteren.
Verdere analyse door Sonatype, gezien door Bleeping Computer , laat zien dat de kwaadaardige code het besturingssysteem controleert dat op het apparaat van het slachtoffer wordt gebruikt en, afhankelijk van het gebruikte besturingssysteem, een Linux-shellscript of Windows-batchbestand start.
Het pakket zou een preinstall.sh-script starten om Linux-apparaten te controleren als de gebruiker zich in Rusland, Oekraïne, Wit-Rusland en Kazachstan bevond. Als het apparaat zich ergens anders bevond, zou het script een XMRig Monero-cryptocurrency-miner downloaden die is ontworpen om 50% van de CPU-kracht van een slachtoffer te gebruiken om detectie te voorkomen.
Voor Windows-gebruikers zou dezelfde Monero-mijnwerker worden geïnstalleerd naast een wachtwoordstelende trojan, waarvan Sonatype speculeert dat het DanaBot is - een banktrojan die wordt gebruikt door georganiseerde misdaadgroepen.
Verdere analyse toonde ook aan dat de wachtwoordstealer ook probeerde wachtwoorden te stelen van de Windows-referentiemanager met behulp van een PowerShell-script.
Gebruikers van de UAParser.js-bibliotheek wordt geadviseerd om de versie die in hun projecten wordt gebruikt te controleren en te upgraden naar de nieuwste versie, die vrij is van schadelijke code.
In dezelfde week ontdekte Sonatype ook nog drie bibliotheken met vergelijkbare code, opnieuw gericht op Linux- en Windows-machines met cryptocurrency-mijnwerkers.