JavaScript библиотеката „UAParser.js“ со милиони преземања неделно е компромитирана и инфицирана со „password stealer“ и „cryptocurrency miner“. Библиотеката има над 7 милиони преземања неделно, вели Record.
UAParser.js е библиотека која овозможува детектирање на прелистувачот, енџинот, оперативниот систем, процесорот, и типот на уред. Може да се користи од клиентска или од серверска страна, а ја користат и компании како Facebook, Apple, Amazon, Microsoft, Slack, IBM, HPE, Dell, Oracle, Mozilla, Shopify и Reddit. Компромитирани се неколку верзии на библиотеката: 0.7.29; 0.8. и 1.0.0 и веќе се издадени безбедни надградби 0.7.30; 0.8.1 и 1.0.1.
„Верувам дека некој се здобил до пристап до мојот npm профил и издал неколку компромитирани пакети кои веројатно ќе инсталираат малициозен код“, вели Фаисал Салман, автор на UAParser.js.
Реакцијата на г. Салман беше брза, па за само неколку часа компромитирани верзии беа заменети со безбедни.
Безбедносните експерти кои ги тестираа компромитираните верзии на библиотеките откриваат дека има неколку екстра скрипти кои преземаат фајлови од друг сервер. Интересно има разлики помеѓу Linux и Windows. За Linux библиотеката доаѓа со додаден „крипто-мајнер“. На Windows покрај „крипто-мајнерот“ се инсталира тројанец кој може да експортира податоци од колачињата на прелистувачот, лозинките зачувани во прелистувачот, и „credentials“ поврзани со оперативниот систем.
Советите за отстранување на компромитираниот код се следни:
- Сите компјутери на кој е инсталиран пакетот треба да бидат сметани за целосно компромитирани.
- Сите „secrets“ и клучеви треба веднаш да бидат заменети преку друг компјутер.
- Пакетот треба веднаш да биде отстранет, но бидејќи контрола врз компјутерот веќе може да е префрлена на надворешен ентитет, нема никаква гаранција дека со отстранување на пакетот е отстранет целиот малициозен код од машината
[…] post Малициозен софт&… appeared first on […]