Malware scoperto nella libreria JavaScript a cui accedono milioni di persone ogni settimana

Una popolare libreria JavaScript utilizzata dalle principali aziende tecnologiche globali è stata presa di mira dagli hacker per diffondere malware e installare password stealer e minatori di criptovalute sui computer delle vittime.

La libreria JavaScript UAParser.js, a cui si accede più di 7 milioni di volte alla settimana, viene utilizzata per rilevare dati di User-Agent di piccole dimensioni, come il browser e il sistema operativo di un visitatore, ed è nota per essere utilizzata da artisti del calibro di Facebook, Microsoft, Amazon, Reddit e molti altri giganti della tecnologia.

Il dirottamento del pacchetto, che secondo quanto riferito è avvenuto il 22 ottobre, ha visto un attore di minacce pubblicare versioni dannose della libreria UAParser.js per prendere di mira macchine Linux e Windows.

Se scaricato su una macchina della vittima, il pacchetto dannoso avrebbe potuto consentire agli hacker di ottenere informazioni riservate o di assumere il controllo del proprio sistema, secondo un avviso emesso venerdì dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti.

L'attore della minaccia ha ottenuto l'accesso all'account dello sviluppatore e lo ha utilizzato per distribuire le versioni infette, secondo l'autore del pacchetto Faisal Salman, in una discussione tenutasi su GitHub.

Scusandosi per le circostanze, Salman ha dichiarato:"Ho notato qualcosa di insolito quando la mia email è stata improvvisamente invasa da spam provenienti da centinaia di siti Web. Credo che qualcuno stesse dirottando il mio account npm e pubblicato alcuni pacchetti compromessi (0.7.29, 0.8.0, 1.0. 0) che probabilmente installerà malware."

Una volta identificate le versioni infette, Salman ha contrassegnato ciascuna di esse per la presenza di malware e le ha rimosse dalla piattaforma.

Un utente interessato ha analizzato i pacchetti compromessi e ha scoperto uno script che ha tentato di esportare le credenziali del sistema operativo e una copia del file DB dei cookie del browser Chrome.

Ulteriori analisi di Sonatype, come visto da Bleeping Computer , mostra che il codice dannoso verificherà il sistema operativo utilizzato sul dispositivo della vittima e, a seconda del sistema operativo utilizzato, avvierà uno script della shell Linux o un file batch di Windows.

Il pacchetto avvierebbe uno script preinstall.sh per controllare i dispositivi Linux se l'utente si trovava in Russia, Ucraina, Bielorussia e Kazakistan. Se il dispositivo si trova altrove, lo script scaricherà un minatore di criptovaluta XMRig Monero progettato per utilizzare il 50% della potenza della CPU di una vittima per evitare il rilevamento.

Per gli utenti Windows, lo stesso minatore Monero verrebbe installato oltre a un trojan per il furto di password, che Sonatype ipotizza essere DanaBot , un trojan bancario utilizzato dai gruppi criminali organizzati.

Ulteriori analisi hanno anche mostrato che il password stealer ha anche tentato di rubare le password dal gestore credenziali di Windows utilizzando uno script PowerShell.

Si consiglia agli utenti della libreria UAParser.js di controllare la versione utilizzata nei loro progetti e di eseguire l'aggiornamento all'ultima versione, che è priva di codice dannoso.

Nella stessa settimana, Sonatype ha anche scoperto altre tre librerie contenenti codice simile, ancora una volta mirate a macchine Linux e Windows con minatori di criptovalute.