Một thư viện JavaScript phổ biến được sử dụng bởi các công ty công nghệ lớn trên toàn cầu đã bị tin tặc nhắm mục tiêu để phát tán phần mềm độc hại và cài đặt những kẻ đánh cắp mật khẩu và công cụ khai thác tiền điện tử trên máy của nạn nhân.

Thư viện JavaScript UAParser.js, được truy cập hơn 7 triệu lần mỗi tuần, được sử dụng để phát hiện dữ liệu Tác nhân người dùng có dấu vết nhỏ, chẳng hạn như trình duyệt và hệ điều hành của khách truy cập và được những người như Facebook sử dụng, Microsoft, Amazon, Reddit và nhiều gã khổng lồ công nghệ khác.

Vụ chiếm đoạt gói, được cho là diễn ra vào ngày 22 tháng 10, đã chứng kiến ​​một kẻ đe dọa xuất bản các phiên bản độc hại của thư viện UAParser.js để nhắm mục tiêu các máy Linux và Windows.

Nếu được tải xuống máy nạn nhân, gói mã độc có thể cho phép tin tặc lấy thông tin nhạy cảm hoặc chiếm quyền kiểm soát hệ thống của họ, theo một cảnh báo do Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra hôm thứ Sáu.

Tác nhân đe dọa đã có quyền truy cập vào tài khoản của nhà phát triển và sử dụng nó để phân phối các phiên bản bị nhiễm, theo Faisal Salman, tác giả của gói, trong một cuộc thảo luận được tổ chức trên GitHub.

Xin lỗi về hoàn cảnh này, Salman nói:"Tôi nhận thấy có điều gì đó bất thường khi email của tôi đột nhiên bị tràn ngập bởi thư rác từ hàng trăm trang web. Tôi tin rằng ai đó đã chiếm đoạt tài khoản npm của tôi và xuất bản một số gói bị xâm phạm (0.7.29, 0.8.0, 1.0. 0) có thể sẽ cài đặt phần mềm độc hại. "

Sau khi xác định được các phiên bản bị nhiễm, Salman đã gắn cờ từng phiên bản vì chứa phần mềm độc hại và xóa chúng khỏi nền tảng.

Một người dùng bị ảnh hưởng đã phân tích các gói bị xâm phạm và phát hiện ra một tập lệnh cố gắng xuất thông tin đăng nhập hệ điều hành của họ và bản sao của tệp DB cookie của Trình duyệt Chrome của họ.

Phân tích thêm bởi Sonatype, như được thấy bởi Bleeping Computer , cho thấy rằng mã độc hại sẽ kiểm tra hệ điều hành được sử dụng trên thiết bị của nạn nhân và tùy thuộc vào hệ điều hành được sử dụng, khởi chạy tập lệnh shell Linux hoặc tệp loạt Windows.

Gói này sẽ khởi tạo tập lệnh preinstall.sh để kiểm tra các thiết bị Linux nếu người dùng ở Nga, Ukraine, Belarus và Kazakhstan. Nếu thiết bị được đặt ở nơi khác, tập lệnh sẽ tải xuống trình khai thác tiền điện tử XMRig Monero được thiết kế để sử dụng 50% sức mạnh CPU của nạn nhân để tránh bị phát hiện.

Đối với người dùng Windows, cùng một công cụ khai thác Monero sẽ được cài đặt cùng với một trojan đánh cắp mật khẩu, mà Sonatype suy đoán là DanaBot - một trojan ngân hàng được sử dụng bởi các nhóm tội phạm có tổ chức.

Phân tích sâu hơn cũng cho thấy rằng kẻ đánh cắp mật khẩu cũng đã cố gắng đánh cắp mật khẩu từ trình quản lý thông tin xác thực của Windows bằng cách sử dụng tập lệnh PowerShell.

Người dùng thư viện UAParser.js nên kiểm tra phiên bản được sử dụng trong các dự án của họ và nâng cấp lên phiên bản mới nhất, không có mã độc.

Trong cùng tuần, Sonatype cũng phát hiện thêm ba thư viện có chứa mã tương tự, một lần nữa nhắm mục tiêu đến các máy Linux và Windows với các công cụ khai thác tiền điện tử.