in

Biblioteca popular de NPM secuestrada para instalar mineros y ladrones de contraseñas


Ataque a la cadena de suministro de NPM

Los piratas informáticos secuestraron la popular biblioteca UA-Parser-JS-NPM con millones de descargas por semana para infectar dispositivos Linux y Windows con criptomineros y troyanos que roban contraseñas en un ataque a la cadena de suministro.

La biblioteca UA Parser JS se utiliza para analizar el agente de usuario de un navegador para identificar el navegador, motor, sistema operativo, CPU y tipo / modelo de dispositivo de un visitante.

La biblioteca es inmensamente popular, con millones de descargas por semana y más de 24 millones de descargas este mes. Además, la biblioteca se utiliza en más de mil proyectos más, incluidos Facebook, Microsoft, Amazon, Instagram, Google, Slack, Mozilla, Discord, Elastic, Intuit, Reddit y muchas más empresas conocidas.

UA Parser JS se descargó millones de veces a la semana
UA Parser JS se descargó millones de veces a la semana
Fuente: NPM-stat.com

Proyecto UA Parser JS secuestrado para instalar malware

El 22 de octubre, un actor de amenazas lanzó versiones maliciosas de la biblioteca UA-Parser-JS-NPM para instalar cryptominer y troyanos que roban contraseñas en dispositivos Linux y Windows.

Según el desarrollador, su cuenta de NPM fue secuestrada y utilizada para alojar las tres versiones maliciosas de la biblioteca.

«Noté algo inusual cuando mi correo electrónico se inundó repentinamente con spam de cientos de sitios web (tal vez no sé que algo andaba mal, afortunadamente el efecto es todo lo contrario)», explicó Faisal Salman, desarrollador de UA-Parser- JS, en un informe de error.

«Creo que alguien secuestró mi cuenta npm y lanzó algunos paquetes comprometidos (0.7.29, 0.8.0, 1.0.0) que probablemente instalará malware, como puede ver en el diferencial aquí: https://app.renovatebot.com/package-diff?name=ua-parser-js&from=0.7.28&to=1.0.0 «.

Las versiones afectadas y sus contrapartes parcheadas son:

Versión dañina Versión fija
0.7.29 0.7.30
0.8.0 0.8.1
1.0.0 1.0.1

Podemos comprender mejor el ataque si tenemos copias de los NPM maliciosos compartidos por Sonatype con BleepingComputer.

Cuando los paquetes comprometidos se instalan en el dispositivo de un usuario, un script preinstall.js verifica el tipo de sistema operativo utilizado en el dispositivo e inicia un script de shell de Linux o un archivo por lotes de Windows.

script preinstall.js para verificar el tipo de sistema operativo
script preinstall.js para verificar el tipo de sistema operativo

Si el paquete está en un dispositivo Linux, se ejecuta un script preinstall.sh para verificar que el usuario se encuentra en Rusia, Ucrania, Bielorrusia y Kazajstán. Si el dispositivo no se encuentra en estos países, el script carga el jextension Programa desde 159[.]148[.]186[.]228 y ejecútelo.

El programa jsextension es un minero XMRig Monero que solo usa el 50% de la CPU del dispositivo para no ser detectado fácilmente.

Script de shell de Linux para instalar el minero
Script de shell de Linux para instalar el minero

Para dispositivos Windows, el archivo por lotes también descarga el Cryptominer XMRig Monero y lo guarda como jsextension.exe y ejecutarlo. El archivo por lotes también descarga un archivo sdd.dll [VirusTotal] de Zitationenherbe[.]en y guárdelo como create.dll.

Archivo por lotes de Windows para instalar Cryptominer
Archivo por lotes de Windows para instalar Cryptominer

La DLL descargada es un troyano que roba contraseñas que intenta robar las contraseñas almacenadas en el dispositivo.

Al cargar la DLL con el regsvr32.exe -s create.dll Command intenta robar contraseñas para una amplia variedad de programas, incluidos clientes FTP, VNC, software de mensajería, clientes de correo electrónico y navegadores.

Para obtener una lista de los programas específicos, consulte la siguiente tabla.

WinVNC Zorro de fuego Control de FTP
Salvapantallas 9x Safari de manzana NetDrive
Control remoto de PC Conexión de escritorio remoto Becky
Cuenta ASP.NET Cliente VPN de Cisco ¡El murciélago!
Absolución Hazlo bien panorama
Vypress Auvis FlashGet / JetCar Eudora
CamFrog FTP de FAR Manager Notificación de Gmail
Win9x NetCache Windows / Total Commander Agente de Mail.Ru
ICQ2003 / Lite WS_FTP IncrediMail
«& RQ, R&Q» SweetFTP Correo grupal gratis
Yahoo! chico de entrega FlashFXP PocoMail
Digsby FileZilla Agente fuerte
Odigo Comandante de FTP Empleado
IM2 / Messenger 2 Cliente FTP BulletProof Mirón POP
Google habla SmartFTP Comandante del puesto
Faim TurboFTP Windows Live Mail
MySpaceIM FFFTP Mozilla Thunderbird
MSN Messenger Taza de café FTP Mono de mar
Windows Live Messenger FTP principal rebaño
Paltalk Explorador de FTP Descargar master
Inspire al mensajero privado Frigate3 FTP Acelerador de descargas de Internet
Proyecto Gizmo SecureFX IEWebCert
AIM Pro UltraFXP IEAutoCompletePWs
Pandion FTPRush Cuentas VPN
Trillian Astra WebSitePublisher Miranda
888Póquer BitKinex GAIM
FullTiltPoker Expandir Lengua macarrónica
PokerStars FTP clásico QIP.Online
TitanPoker honda JAJC
PartyPoker Cliente FTP SoftX WebCred
Pastel de póquer Directorio Opus Credenciales de Windows
UBPoker Cargador de FTP Marcador MuxaSoft
Marcador de EType FreeFTP / DirectFTP Marcador flexibleSoft
Contraseñas RAS LeapFTP Reina del marcador
explorador de Internet WinSCP VDialer
cromo FTP de 32 bits Marcador avanzado
Ópera WebDrive Windows RAS

Además de robar contraseñas de los programas anteriores, la DLL ejecuta un script de PowerShell para robar contraseñas del Administrador de credenciales de Windows como se muestra a continuación.

Robar contraseñas guardadas de Windows
Robar contraseñas guardadas de Windows

Este ataque parece haber sido llevado a cabo por el mismo actor de amenazas que está detrás de otras bibliotecas maliciosas de NPM descubiertas esta semana.

Los investigadores de la empresa de seguridad de código abierto Sonatype descubrieron tres bibliotecas NPM maliciosas que se utilizan para implementar criptomineros en dispositivos Linux y Windows de formas casi idénticas.

¿Qué deben hacer los usuarios de UA Parser JS?

Debido a los efectos de largo alcance de este ataque a la cadena de suministro, se recomienda encarecidamente que todos los usuarios de la biblioteca UA Parser JS revisen sus proyectos en busca de malware.

Esto incluye verificar la existencia de jsextension.exe (Windows) o jextension (Linux) y elimínelos cuando los encuentre.

Los usuarios de Windows deben publicar su dispositivo en un create.dll Archívelo y elimínelo inmediatamente.

También debe cambiar sus contraseñas, ya que probablemente fueron robadas y enviadas al actor de la amenaza.

Si bien es probable que cambiar sus contraseñas sea una empresa enorme, el actor de la amenaza puede comprometer sus cuentas en línea, incluido cualquier proyecto que desarrolle para futuros ataques a la cadena de suministro.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Microsoft advierte sobre el kit de phishing TodayZoo, que se utiliza para robar credenciales en ataques a gran escala

SysFlow: canalización de telemetría del sistema nativo de la nube