Malware ditemukan di Perpustakaan JavaScript yang diakses oleh jutaan orang setiap minggu

Pustaka JavaScript populer yang digunakan oleh perusahaan teknologi global besar telah menjadi sasaran peretas untuk menyebarkan malware dan memasang pencuri sandi dan penambang mata uang kripto di mesin korban.

Pustaka JavaScript UAParser.js, yang diakses lebih dari 7 juta kali per minggu, digunakan untuk mendeteksi data Agen Pengguna jejak kecil, seperti browser dan OS pengunjung, dan diketahui digunakan oleh orang-orang seperti Facebook, Microsoft, Amazon, Reddit, dan banyak lagi raksasa teknologi lainnya.

Pembajakan paket, yang dilaporkan terjadi pada 22 Oktober, melihat aktor ancaman memublikasikan versi berbahaya dari library UAparser.js untuk menargetkan mesin Linux dan Windows.

Jika didownload ke mesin korban, paket berbahaya tersebut dapat memungkinkan peretas untuk mendapatkan informasi sensitif atau mengendalikan sistem mereka, menurut peringatan yang dikeluarkan oleh US Cybersecurity and Infrastructure Security Agency (CISA) pada hari Jumat.

Pelaku ancaman memperoleh akses ke akun pengembang dan menggunakannya untuk mendistribusikan versi yang terinfeksi, menurut penulis paket Faisal Salman, dalam diskusi yang diadakan di GitHub.

Meminta maaf atas keadaan tersebut, Salman mengatakan:"Saya melihat sesuatu yang tidak biasa ketika email saya tiba-tiba dibanjiri oleh spam dari ratusan situs web. Saya yakin seseorang telah membajak akun npm saya dan menerbitkan beberapa paket yang disusupi (0.7.29, 0.8.0, 1.0. 0) yang mungkin akan memasang malware."

Setelah dia mengidentifikasi versi yang terinfeksi, Salman menandai setiap versi karena mengandung malware dan menghapusnya dari platform.

Satu pengguna yang terpengaruh menganalisis paket yang disusupi dan menemukan skrip yang mencoba mengekspor kredensial OS mereka dan salinan file DB cookie Browser Chrome mereka.

Analisis lebih lanjut oleh Sonatype, seperti yang terlihat oleh Bleeping Computer , menunjukkan bahwa kode berbahaya akan memeriksa OS yang digunakan pada perangkat korban dan, bergantung pada OS yang digunakan, meluncurkan skrip shell Linux atau file batch Windows.

Paket akan memulai skrip preinstall.sh untuk memeriksa perangkat Linux jika pengguna berada di Rusia, Ukraina, Belarusia, dan Kazakhstan. Jika perangkat berada di tempat lain, skrip akan mengunduh penambang cryptocurrency XMRig Monero yang dirancang untuk menggunakan 50% daya CPU korban untuk menghindari deteksi.

Untuk pengguna Windows, penambang Monero yang sama akan dipasang selain trojan pencuri sandi, yang menurut spekulasi Sonatype adalah DanaBot - trojan perbankan yang digunakan oleh kelompok kejahatan terorganisir.

Analisis lebih lanjut juga menunjukkan bahwa pencuri sandi juga berusaha mencuri sandi dari pengelola kredensial Windows menggunakan skrip PowerShell.

Pengguna perpustakaan UAParser.js disarankan untuk memeriksa versi yang digunakan dalam proyek mereka dan meningkatkan ke versi terbaru, yang bebas dari kode berbahaya.

Pada minggu yang sama, Sonatype juga menemukan tiga perpustakaan lain yang berisi kode serupa, sekali lagi menargetkan mesin Linux dan Windows dengan penambang cryptocurrency.