В npm-пакет UAParser.js с миллионами пользователей внедрили стилер паролей и майнер. Что делать:
Несколько версий UAParser.js, популярной JavaScript-библиотеки, были скомпрометированы: злоумышленники внедрили в них вредоносный код. А библиотека эта используется во множестве проектов — по статистике на странице разработчика, каждую неделю ее скачивают от 6 до 8 млн. раз.
Всего скомпрометированы три версии библиотеки: 0.7.29, 0.8.0, и 1.0.0. Всем пользователям и администраторам — срочно обновить библиотеки до версий 0.7.30, 0.8.1 и 1.0.1 соответственно.
Что такое UAParser.js и откуда у него миллионы загрузок
Библиотека UAParser.js служит для разбора строк user-agent, которые отправляет браузер. Её используют на множестве веб-сайтов и в процессе разработки софта разных компаний, в.т.ч. Facebook, Apple, Amazon, Slack, Microsoft, IBM, HPE, Dell, Oracle, Mozilla. Среди пользователей библиотеки есть популярные проекты вроде фреймворка Karma для тестирования кода, которые используются многими разработчиками. Это увеличивает масштабы атаки, добавляя дополнительное звено в цепочке поставок.
Что за вредоносный код и чем он опасен
Встроенные в библиотеку скрипты служили для скачивания с посторонних серверов и выполнения на компьютерах вредоносного кода, как под Linux, так и под Windows. Один из зловредов майнил криптовалюту, второй, под Windows, похищал конфиденциальную информацию (файлы куки из браузера, пароли и учетные данные от операционных систем).
Дело может этим не ограничиться: по предупреждению специалистов Агентства по кибербезопасности и защите инфраструктуры США (CISA), установка этих библиотек могла позволить преступникам захватить контроль над системой.
По сообщениям пользователей GitHub, криптомайнер создает исполняемые файлы jsextension (под Linux) и jsextension.exe (под Windows). Их наличие служит явным признаком компрометации системы.
Как вредоносный код попал в библиотеку UAParser.js
По сообщению автора проекта, Файсала Салмана, кто-то пока неустановленным образом получил доступ к его учетной записи в репозитории npm. После чего злоумышленник опубликовал три вредоносных версии библиотеки UAParser.js. Разработчик незамедлительно снабдил скомпрометированные пакеты предупреждением и связался с поддержкой npm, которая вскоре убрала опасные версии. Однако за то время, что они были в свободном доступе, зараженные библиотеки могли распространиться на значительное количество машин.
По всей видимости, они находились онлайн немногим больше четырех часов — с 14:15 до 18:23 по центральноевропейскому времени 22 октября. Вечером разработчик заметил нездоровую спам-активность в своем почтовом ящике — по его словам, это стало для него сигналом, что происходит что-то подозрительное, — и обнаружил корень проблемы.
Что делать тем, кто скачал зараженные библиотеки
Первым делом следует проверить компьютеры на наличие вредоносного ПО. Все компоненты зловредов, использовавшиеся в атаке, успешно детектируются нашими продуктами.
Далее следует обновить библиотеки до безопасных версий 0.7.30, 0.8.1 и 1.0.1. Но этого мало, по мнению экспертов команды GitHub, любой компьютер, на котором был установлен или выполнен зараженный вариант библиотеки, следует считать полностью скомпрометированным. Поэтому все учетные данные, которые использовались на этих компьютерах, следует сменить.
В целом же следует помнить, что среда разработки или среда сборки — лакомый кусок для злоумышленников, пытающихся организовать атаку через цепочку поставок. Поэтому она также нуждается в защите от вредоносного ПО.
