Malware descoberto na biblioteca JavaScript acessada por milhões a cada semana

Uma popular biblioteca JavaScript usada por grandes empresas globais de tecnologia foi alvo de hackers para espalhar malware e instalar ladrões de senhas e mineradores de criptomoedas nas máquinas das vítimas.

A biblioteca UAParser.js JavaScript, que é acessada mais de 7 milhões de vezes por semana, é usada para detectar dados do User-Agent de pequena área, como navegador e sistema operacional de um visitante, e é conhecida por ser usada por empresas como Facebook, Microsoft, Amazon, Reddit e muitos outros gigantes da tecnologia.

O sequestro do pacote, que supostamente ocorreu em 22 de outubro, viu um agente de ameaças publicar versões maliciosas da biblioteca UAParser.js para atingir máquinas Linux e Windows.

Se baixado para a máquina da vítima, o pacote malicioso poderia permitir que hackers obtivessem informações confidenciais ou assumissem o controle de seu sistema, de acordo com um alerta emitido pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) na sexta-feira.

O agente da ameaça obteve acesso à conta do desenvolvedor e a usou para distribuir as versões infectadas, de acordo com o autor do pacote, Faisal Salman, em uma discussão realizada no GitHub.

Pedindo desculpas pelas circunstâncias, Salman disse:"Percebi algo incomum quando meu e-mail foi subitamente inundado por spams de centenas de sites. Acredito que alguém estava invadindo minha conta npm e publicou alguns pacotes comprometidos (0.7.29, 0.8.0, 1.0. 0) que provavelmente instalará malware."

Depois de identificar as versões infectadas, Salman sinalizou cada uma delas por conter malware e as removeu da plataforma.

Um usuário afetado analisou os pacotes comprometidos e descobriu um script que tentou exportar as credenciais do SO e uma cópia do arquivo de banco de dados de cookies do navegador Chrome.

Análise adicional por Sonatype, conforme visto por Bleeping Computer , mostra que o código malicioso verificará o sistema operacional usado no dispositivo da vítima e, dependendo do sistema operacional usado, iniciará um script de shell do Linux ou um arquivo em lote do Windows.

O pacote iniciaria um script preinstall.sh para verificar os dispositivos Linux se o usuário estivesse localizado na Rússia, Ucrânia, Bielorrússia e Cazaquistão. Se o dispositivo estivesse localizado em outro lugar, o script baixaria um minerador de criptomoeda XMRig Monero projetado para usar 50% da energia da CPU da vítima para evitar a detecção.

Para usuários do Windows, o mesmo minerador Monero seria instalado, além de um trojan de roubo de senha, que a Sonatype especula ser o DanaBot - um trojan bancário usado por grupos do crime organizado.

Análises adicionais também mostraram que o ladrão de senhas também tentou roubar senhas do gerenciador de credenciais do Windows usando um script do PowerShell.

Os usuários da biblioteca UAParser.js são aconselhados a verificar a versão usada em seus projetos e atualizar para a versão mais recente, que está livre do código malicioso.

Na mesma semana, a Sonatype também descobriu mais três bibliotecas contendo códigos semelhantes, novamente visando máquinas Linux e Windows com mineradores de criptomoedas.