主要なグローバルテクノロジー企業で使用されている人気のJavaScriptライブラリは、ハッカーの標的となってマルウェアを拡散し、被害者のマシンにパスワードスティーラーと暗号通貨マイナーをインストールしています。

週に700万回以上アクセスされるUAParser.jsJavaScriptライブラリは、訪問者のブラウザやOSなどのフットプリントの小さいユーザーエージェントデータを検出するために使用され、Facebookなどで使用されることが知られています。 Microsoft、Amazon、Reddit、その他多くのハイテク巨人。

伝えられるところによると、10月22日に行われたパッケージのハイジャックにより、攻撃者が悪意のあるバージョンのUAParser.jsライブラリをLinuxおよびWindowsマシンを標的に公開していることがわかりました。

米国国土安全保障省サイバーセキュリティ庁（CISA）が金曜日に発行したアラートによると、被害者のマシンにダウンロードされた場合、悪意のあるパッケージによってハッカーが機密情報を入手したり、システムを制御したりする可能性があります。

パッケージの作成者であるFaisalSalmanによると、GitHubで開催されたディスカッションで、攻撃者は開発者のアカウントにアクセスし、それを使用して感染したバージョンを配布しました。

状況をお詫びし、サルマン氏は次のように述べています。「何百ものウェブサイトからのスパムが突然メールに殺到したとき、何か変わったことに気づきました。誰かが私のnpmアカウントを乗っ取って、侵害されたパッケージ（0.7.29、0.8.0、1.0）を公開したと思います。 0）おそらくマルウェアをインストールします。」

感染したバージョンを特定すると、Salmanはマルウェアが含まれていることを示すフラグを立て、プラットフォームから削除しました。

影響を受けた1人のユーザーが、侵害されたパッケージを分析し、OSのクレデンシャルとChromeブラウザのCookieDBファイルのコピーをエクスポートしようとするスクリプトを発見しました。

Bleeping Computer で見られる、Sonatypeによるさらなる分析 は、悪意のあるコードが被害者のデバイスで使用されているOSをチェックし、使用されているOSに応じて、LinuxシェルスクリプトまたはWindowsバッチファイルを起動することを示しています。

パッケージはpreinstall.shスクリプトを開始して、ユーザーがロシア、ウクライナ、ベラルーシ、カザフスタンにいる場合にLinuxデバイスをチェックします。デバイスが別の場所にある場合、スクリプトは、検出を回避するために被害者のCPUパワーの50％を使用するように設計されたXMRigMonero暗号通貨マイナーをダウンロードします。

Windowsユーザーの場合、パスワードを盗むトロイの木馬に加えて、同じMoneroマイナーがインストールされます。これは、Sonatypeが組織犯罪グループによって使用されるバンキング型トロイの木馬であるDanaBotであると推測しています。

さらに分析したところ、パスワードスティーラーは、PowerShellスクリプトを使用してWindowsクレデンシャルマネージャーからパスワードを盗もうとしたこともわかりました。

UAParser.jsライブラリのユーザーは、プロジェクトで使用されているバージョンを確認し、悪意のあるコードがない最新バージョンにアップグレードすることをお勧めします。

同じ週に、Sonatypeは、同様のコードを含むさらに3つのライブラリを発見しました。これも、暗号通貨マイナーを備えたLinuxおよびWindowsマシンを対象としています。