Vào ngày 22 tháng 10, tài khoản của nhà phát triển gói NPM phổ biến UA-Parser-JS đã bị tấn công.
Các phiên bản mới của gói đã được phát hành bởi tin tặc, chứa một công cụ khai thác tiền điện tử và trong một số trường hợp, một trojan.
Một công cụ khai thác tiền điện tử và một trojan đã được cài đặt
” Tôi nhận thấy điều gì đó bất thường khi địa chỉ email của tôi đột nhiên ngập bởi thư rác từ hàng trăm trang web Nhà phát triển Faisal Salman của UA-Parser-JS cho biết trong một báo cáo lỗi trên GitHub. Tài khoản NPM của anh ta thực sự vừa bị tấn công và các phiên bản độc hại trong gói của anh ta đã bị tin tặc tung ra. Một hoạt động đặc biệt nhạy cảm vì UA-Parser-JS là một gói NPM cực kỳ phổ biến, được tải xuống hàng triệu lần, trong đó có 24 triệu chỉ trong tháng này. Nó cũng được sử dụng bởi các công ty lớn, chẳng hạn như Microsoft, AmazonGoogle và Facebooktrong các dự án của họ.
Theo báo cáo của BleepingComputer người đã có quyền truy cập vào mã độc hại, sau khi các phiên bản bị xâm phạm của gói được cài đặt, một tập lệnh có tên preinstall.js sẽ kiểm tra hệ điều hành của thiết bị. Nếu nạn nhân đang sử dụng Linux, một tập lệnh thứ hai được gọi là preinstall.sh được thực thi để kiểm tra xem người dùng đang ở Nga, Ukraine, Belarus hay Kazakhstan. Nếu không, công cụ khai thác tiền điện tử XMRig được cài đặt dưới dạng một chương trình có tên jsextension và được cấu hình để sử dụng 50% CPU để tránh bị phát hiện nhanh.
Người dùng MacOS được tha nhưng những người của Windows được hưởng một phiên bản độc hại hơn của phần mềm độc hại. Cùng với công cụ khai thác tiền điện tử, tập lệnh cũng cài đặt một tệp .dll, đây là một trojan được thiết kế để ăn cắp ID và mật khẩu của người dùng thiết bị. Nó được nghi ngờ là một phiên bản của DanaBot, một trojan ngân hàng có các hoạt động đầu tiên được phát hiện ở Úc trước khi lan sang châu Âu và Bắc Mỹ.
Đã có phiên bản mới
Vài giờ sau khi biết về vụ hack, Faisal Salman đã xóa các phiên bản bị nhiễm và phát hành các phiên bản mới trong gói của mình. Các Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đã phát hành một cảnh báo bảo mật, yêu cầu người dùng và quản trị viên cài đặt các phiên bản cố định mới của gói. ” Một máy tính hoặc thiết bị có cài đặt hoặc chạy phần mềm bị ảnh hưởng có thể cho phép kẻ tấn công từ xa lấy thông tin nhạy cảm hoặc giành quyền kiểm soát hệ thống cảnh báo cơ quan.
GitHub cũng đưa ra một cảnh báo, nói rằng “ bất kỳ máy tính nào được cài đặt hoặc đang chạy gói này sẽ được coi là hoàn toàn bị xâm phạm “. Họ khuyến khích người dùng xoay khóa và bí mật của họ từ một thiết bị khác và gỡ cài đặt các phiên bản độc hại của gói. Tuy nhiên, họ cảnh báo rằng loại bỏ gói là không đủ: Vì toàn quyền kiểm soát máy tính có thể đã được trao cho một tổ chức bên ngoài, không có gì đảm bảo rằng việc xóa gói sẽ xóa tất cả phần mềm độc hại “.
Các phiên bản bị nhiễm là các phiên bản 0.7.29, 0.8.0 và 1.0.0. Nếu bạn sử dụng gói này trong dự án của mình, do đó, bạn nên cài đặt các phiên bản 0.7.30, 0.8.1 Ở đâu 1.0.1. BleepingComputer cũng nên kiểm tra sự tồn tại của jsextension.exe vì Windows Ở đâu jsextension cho Linux trên thiết bị của bạn. Những người sử dụng Windows sẽ phải kiểm tra sự hiện diện của create.dll và xóa nó nếu họ tìm thấy nó. Tất cả mật khẩu, mã thông báo và các bí mật khác cũng phải được thay đổi.
Nguồn: Kỷ lục
, Máy tính Bleeping
