Malware in JavaScript-Bibliothek entdeckt, auf die jede Woche Millionen zugreifen

Eine beliebte JavaScript-Bibliothek, die von großen globalen Technologieunternehmen verwendet wird, wurde von Hackern angegriffen, um Malware zu verbreiten und auf den Computern der Opfer Passwortdiebe und Kryptowährungsschürfer zu installieren.

Die UAParser.js-JavaScript-Bibliothek, auf die mehr als 7 Millionen Mal pro Woche zugegriffen wird, wird verwendet, um kleinformatige User-Agent-Daten wie den Browser und das Betriebssystem eines Besuchers zu erkennen, und wird bekanntermaßen von Facebook verwendet. Microsoft, Amazon, Reddit und viele weitere Technologiegiganten.

Bei der Entführung des Pakets, die Berichten zufolge am 22. Oktober stattfand, veröffentlichte ein Bedrohungsakteur bösartige Versionen der UAParser.js-Bibliothek, die auf Linux- und Windows-Rechner abzielte.

Laut einer am Freitag von der US-amerikanischen Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) herausgegebenen Warnung hätte das bösartige Paket es Hackern ermöglichen können, vertrauliche Informationen zu erhalten oder die Kontrolle über ihr System zu übernehmen, wenn es auf einen Computer des Opfers heruntergeladen worden wäre.

Der Angreifer verschaffte sich Zugriff auf das Konto des Entwicklers und nutzte es, um die infizierten Versionen zu verbreiten, so der Autor des Pakets, Faisal Salman, in einer Diskussion auf GitHub.

Salman entschuldigte sich für die Umstände und sagte:„Ich habe etwas Ungewöhnliches bemerkt, als meine E-Mails plötzlich von Spam von Hunderten von Websites überflutet wurden. 0), die wahrscheinlich Malware installieren wird."

Nachdem er die infizierten Versionen identifiziert hatte, markierte Salman jede einzelne als Malware und entfernte sie von der Plattform.

Ein betroffener Nutzer analysierte die manipulierten Pakete und entdeckte ein Skript, das versuchte, seine Betriebssystem-Anmeldedaten und eine Kopie der Cookie-DB-Datei seines Chrome-Browsers zu exportieren.

Weitere Analyse durch Sonatype, gesehen von Bleeping Computer , zeigt, dass der bösartige Code das auf dem Gerät eines Opfers verwendete Betriebssystem überprüft und je nach verwendetem Betriebssystem ein Linux-Shell-Skript oder eine Windows-Batch-Datei startet.

Das Paket initiierte ein preinstall.sh-Skript, um Linux-Geräte zu prüfen, wenn sich der Nutzer in Russland, der Ukraine, Weißrussland und Kasachstan befand. Wenn sich das Gerät an einem anderen Ort befand, würde das Skript einen XMRig Monero-Kryptowährungs-Miner herunterladen, der darauf ausgelegt ist, 50 % der CPU-Leistung eines Opfers zu verbrauchen, um eine Erkennung zu vermeiden.

Für Windows-Benutzer würde derselbe Monero-Miner zusätzlich zu einem Passwort-stehlenden Trojaner installiert werden, von dem Sonatype spekuliert, dass es sich um DanaBot handelt – ein Banking-Trojaner, der von organisierten kriminellen Gruppen verwendet wird.

Weitere Analysen zeigten außerdem, dass der Passwortdieb auch versuchte, Passwörter aus dem Windows-Anmeldeinformationsmanager mithilfe eines PowerShell-Skripts zu stehlen.

Benutzern der UAParser.js-Bibliothek wird empfohlen, die in ihren Projekten verwendete Version zu überprüfen und auf die neueste Version zu aktualisieren, die frei von bösartigem Code ist.

In derselben Woche entdeckte Sonatype auch drei weitere Bibliotheken mit ähnlichem Code, die wiederum auf Linux- und Windows-Rechner mit Kryptowährungs-Minern abzielten.