Logiciels malveillants découverts dans la bibliothèque JavaScript accessible à des millions de personnes chaque semaine

Une bibliothèque JavaScript populaire utilisée par de grandes entreprises technologiques mondiales a été ciblée par des pirates pour propager des logiciels malveillants et installer des voleurs de mots de passe et des mineurs de crypto-monnaie sur les machines des victimes.

La bibliothèque JavaScript UAParser.js, accessible plus de 7 millions de fois par semaine, est utilisée pour détecter les données d'agent utilisateur à faible encombrement, telles que le navigateur et le système d'exploitation d'un visiteur, et est connue pour être utilisée par Facebook, Microsoft, Amazon, Reddit et bien d'autres géants de la technologie.

Le piratage du package, qui aurait eu lieu le 22 octobre, a vu un acteur malveillant publier des versions malveillantes de la bibliothèque UAParser.js pour cibler les machines Linux et Windows.

S'il était téléchargé sur la machine de la victime, le package malveillant aurait pu permettre à des pirates d'obtenir des informations sensibles ou de prendre le contrôle de leur système, selon une alerte publiée vendredi par la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis.

L'auteur de la menace a eu accès au compte du développeur et l'a utilisé pour distribuer les versions infectées, selon l'auteur du package Faisal Salman, lors d'une discussion tenue sur GitHub.

S'excusant pour les circonstances, Salman a déclaré :"J'ai remarqué quelque chose d'inhabituel lorsque mon courrier électronique a été soudainement inondé de spams provenant de centaines de sites Web. Je pense que quelqu'un a piraté mon compte npm et a publié des packages compromis (0.7.29, 0.8.0, 1.0. 0) qui installera probablement des logiciels malveillants."

Une fois qu'il a identifié les versions infectées, Salman a signalé chacune d'elles comme contenant des logiciels malveillants et les a supprimées de la plate-forme.

Un utilisateur concerné a analysé les packages compromis et a découvert un script qui tentait d'exporter ses identifiants de système d'exploitation et une copie du fichier de base de données de cookies de son navigateur Chrome.

Analyse approfondie par Sonatype, vue par Bleeping Computer , indique que le code malveillant vérifie le système d'exploitation utilisé sur l'appareil de la victime et, selon le système d'exploitation utilisé, lance un script shell Linux ou un fichier batch Windows.

Le package lancerait un script preinstall.sh pour vérifier les appareils Linux si l'utilisateur se trouvait en Russie, en Ukraine, en Biélorussie et au Kazakhstan. Si l'appareil se trouvait ailleurs, le script téléchargerait un mineur de crypto-monnaie XMRig Monero conçu pour utiliser 50 % de la puissance du processeur d'une victime pour éviter d'être détecté.

Pour les utilisateurs de Windows, le même mineur Monero serait installé en plus d'un cheval de Troie voleur de mot de passe, que Sonatype suppose être DanaBot - un cheval de Troie bancaire utilisé par des groupes criminels organisés.

Une analyse plus approfondie a également montré que le voleur de mots de passe a également tenté de voler des mots de passe du gestionnaire d'informations d'identification Windows à l'aide d'un script PowerShell.

Il est conseillé aux utilisateurs de la bibliothèque UAParser.js de vérifier la version utilisée dans leurs projets et de mettre à niveau vers la dernière version, qui est exempte de code malveillant.

Au cours de la même semaine, Sonatype a également découvert trois autres bibliothèques contenant un code similaire, ciblant à nouveau les machines Linux et Windows avec des mineurs de crypto-monnaie.