Biblioteca popular de NPM secuestrada para instalar mineros y ladrones de contraseñas
Los piratas informáticos secuestraron la popular biblioteca UA-Parser-JS-NPM con millones de descargas por semana para infectar dispositivos Linux y Windows con criptomineros y troyanos que roban contraseñas en un ataque a la cadena de suministro.
La biblioteca UA Parser JS se utiliza para analizar el agente de usuario de un navegador para identificar el navegador, motor, sistema operativo, CPU y tipo / modelo de dispositivo de un visitante.
La biblioteca es inmensamente popular, con millones de descargas por semana y más de 24 millones de descargas este mes. Además, la biblioteca se utiliza en más de mil proyectos más, incluidos Facebook, Microsoft, Amazon, Instagram, Google, Slack, Mozilla, Discord, Elastic, Intuit, Reddit y muchas más empresas conocidas.
Proyecto UA Parser JS secuestrado para instalar malware
El 22 de octubre, un actor de amenazas lanzó versiones maliciosas de la biblioteca UA-Parser-JS-NPM para instalar cryptominer y troyanos que roban contraseñas en dispositivos Linux y Windows.
Según el desarrollador, su cuenta de NPM fue secuestrada y utilizada para alojar las tres versiones maliciosas de la biblioteca.
«Noté algo inusual cuando mi correo electrónico se inundó repentinamente con spam de cientos de sitios web (tal vez no sé que algo andaba mal, afortunadamente el efecto es todo lo contrario)», explicó Faisal Salman, desarrollador de UA-Parser- JS, en un informe de error.
«Creo que alguien secuestró mi cuenta npm y lanzó algunos paquetes comprometidos (0.7.29, 0.8.0, 1.0.0) que probablemente instalará malware, como puede ver en el diferencial aquí: https://app.renovatebot.com/package-diff?name=ua-parser-js&from=0.7.28&to=1.0.0 «.
Las versiones afectadas y sus contrapartes parcheadas son:
Versión dañinaVersión fija0.7.290.7.300.8.00.8.11.0.01.0.1
Podemos comprender mejor el ataque si tenemos copias de los NPM maliciosos compartidos por Sonatype con BleepingComputer.
Cuando los paquetes comprometidos se instalan en el dispositivo de un usuario, un script preinstall.js verifica el tipo de sistema operativo utilizado en el dispositivo e inicia un script de shell de Linux o un archivo por lotes de Windows.
Si el paquete está en un dispositivo Linux, se ejecuta un script preinstall.sh para verificar que el usuario se encuentra en Rusia, Ucrania, Bielorrusia y Kazajstán. Si el dispositivo no se encuentra en estos países, el script carga el jextension Programa desde 159[.]148[.]186[.]228 y ejecútelo.
El programa jsextension es un minero XMRig Monero que solo usa el 50% de la CPU del dispositivo para no ser detectado fácilmente.
Para dispositivos Windows, el archivo por lotes también descarga el Cryptominer XMRig Monero y lo guarda como jsextension.exe y ejecutarlo. El archivo por lotes también descarga un archivo sdd.dll [VirusTotal] de Zitationenherbe[.]en y guárdelo como create.dll.
La DLL descargada es un troyano que roba contraseñas que intenta robar las contraseñas almacenadas en el dispositivo.
Al cargar la DLL con el regsvr32.exe -s create.dll Command intenta robar contraseñas para una amplia variedad de programas, incluidos clientes FTP, VNC, software de mensajería, clientes de correo electrónico y navegadores.
Para obtener una lista de los programas específicos, consulte la siguiente tabla.
WinVNCZorro de fuegoControl de FTPSalvapantallas 9xSafari de manzanaNetDriveControl remoto de PCConexión de escritorio remotoBeckyCuenta ASP.NETCliente VPN de Cisco¡El murciélago!AbsoluciónHazlo bienpanoramaVypress AuvisFlashGet / JetCarEudoraCamFrogFTP de FAR ManagerNotificación de GmailWin9x NetCacheWindows / Total CommanderAgente de Mail.RuICQ2003 / LiteWS_FTPIncrediMail«& RQ, R&Q»SweetFTPCorreo grupal gratisYahoo! chico de entregaFlashFXPPocoMailDigsbyFileZillaAgente fuerteOdigoComandante de FTPEmpleadoIM2 / Messenger 2Cliente FTP BulletProofMirón POPGoogle hablaSmartFTPComandante del puestoFaimTurboFTPWindows Live MailMySpaceIMFFFTPMozilla ThunderbirdMSN MessengerTaza de café FTPMono de marWindows Live MessengerFTP principalrebañoPaltalkExplorador de FTPDescargar masterInspire al mensajero privadoFrigate3 FTPAcelerador de descargas de InternetProyecto GizmoSecureFXIEWebCertAIM ProUltraFXPIEAutoCompletePWsPandionFTPRushCuentas VPNTrillian AstraWebSitePublisherMiranda888PóquerBitKinexGAIMFullTiltPokerExpandirLengua macarrónicaPokerStarsFTP clásicoQIP.OnlineTitanPokerhondaJAJCPartyPokerCliente FTP SoftXWebCredPastel de póquerDirectorio OpusCredenciales de WindowsUBPokerCargador de FTPMarcador MuxaSoftMarcador de ETypeFreeFTP / DirectFTPMarcador flexibleSoftContraseñas RASLeapFTPReina del marcadorexplorador de InternetWinSCPVDialercromoFTP de 32 bitsMarcador avanzadoÓperaWebDriveWindows RAS
Además de robar contraseñas de los programas anteriores, la DLL ejecuta un script de PowerShell para robar contraseñas del Administrador de credenciales de Windows como se muestra a continuación.
Este ataque parece haber sido llevado a cabo por el mismo actor de amenazas que está detrás de otras bibliotecas maliciosas de NPM descubiertas esta semana.
Los investigadores de la empresa de seguridad de código abierto Sonatype descubrieron tres bibliotecas NPM maliciosas que se utilizan para implementar criptomineros en dispositivos Linux y Windows de formas casi idénticas.
¿Qué deben hacer los usuarios de UA Parser JS?
Debido a los efectos de largo alcance de este ataque a la cadena de suministro, se recomienda encarecidamente que todos los usuarios de la biblioteca UA Parser JS revisen sus proyectos en busca de malware.
Esto incluye verificar la existencia de jsextension.exe (Windows) o jextension (Linux) y elimínelos cuando los encuentre.
Los usuarios de Windows deben publicar su dispositivo en un create.dll Archívelo y elimínelo inmediatamente.
También debe cambiar sus contraseñas, ya que probablemente fueron robadas y enviadas al actor de la amenaza.
Si bien es probable que cambiar sus contraseñas sea una empresa enorme, el actor de la amenaza puede comprometer sus cuentas en línea, incluido cualquier proyecto que desarrolle para futuros ataques a la cadena de suministro.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
