주요 글로벌 기술 기업에서 사용하는 인기 있는 자바스크립트 라이브러리가 해커의 표적이 되어 피해자의 컴퓨터에 악성코드를 전파하고 비밀번호 도용자와 암호화폐 채굴기를 설치했습니다.
주당 700만 회 이상 액세스되는 UAParser.js 자바스크립트 라이브러리는 방문자의 브라우저 및 OS와 같은 소규모 사용자 에이전트 데이터를 감지하는 데 사용되며 Facebook, Microsoft, Amazon, Reddit 및 더 많은 기술 대기업.
10월 22일에 발생한 것으로 알려진 패키지 하이재킹에서 위협 행위자가 Linux 및 Windows 시스템을 대상으로 하는 악성 버전의 UAParser.js 라이브러리를 게시하는 것을 목격했습니다.
금요일에 미국 사이버 보안 및 인프라 보안국(CISA)에서 발령한 경고에 따르면 악성 패키지를 피해자 컴퓨터에 다운로드하면 해커가 민감한 정보를 얻거나 시스템을 제어할 수 있었습니다.
패키지 작성자 Faisal Salman에 따르면 위협 행위자는 개발자의 계정에 액세스하여 감염된 버전을 배포하는 데 사용했다고 GitHub에서 열린 토론에서 밝혔습니다.
상황에 대해 사과하면서 Salman은 다음과 같이 말했습니다. "내 이메일이 갑자기 수백 개의 웹사이트에서 스팸으로 넘쳐났을 때 이상한 점을 발견했습니다. 누군가 내 npm 계정을 도용하고 손상된 패키지(0.7.29, 0.8.0, 1.0.1)를 게시한 것 같습니다. 0) 맬웨어를 설치할 가능성이 있습니다."
Salman은 감염된 버전을 식별한 후 각 버전에 멀웨어가 포함된 것으로 표시하고 플랫폼에서 제거했습니다.
영향을 받은 한 사용자는 손상된 패키지를 분석한 결과 OS 자격 증명과 Chrome 브라우저의 쿠키 DB 파일 사본을 내보내려는 스크립트를 발견했습니다.
Bleeping Computer에서 볼 수 있는 Sonatype별 추가 분석 , 악성 코드가 피해자의 기기에서 사용되는 OS를 확인하고 사용된 OS에 따라 Linux 셸 스크립트 또는 Windows 배치 파일을 실행함을 보여줍니다.
패키지는 사용자가 러시아, 우크라이나, 벨로루시, 카자흐스탄에 있는 경우 Linux 기기를 확인하기 위해 preinstall.sh 스크립트를 시작합니다. 장치가 다른 곳에 있는 경우 스크립트는 탐지를 피하기 위해 피해자 CPU 전력의 50%를 사용하도록 설계된 XMRig Monero 암호 화폐 채굴기를 다운로드합니다.
Windows 사용자의 경우 Sonatype이 조직 범죄 그룹에서 사용하는 은행 트로이 목마인 DanaBot으로 추정하는 비밀번호 도용 트로이 목마 외에 동일한 Monero 광부가 설치됩니다.
추가 분석에서는 비밀번호 도용자가 PowerShell 스크립트를 사용하여 Windows 자격 증명 관리자의 비밀번호도 도용하려고 시도한 것으로 나타났습니다.
UAParser.js 라이브러리 사용자는 프로젝트에 사용된 버전을 확인하고 악성 코드가 없는 최신 버전으로 업그레이드하는 것이 좋습니다.
같은 주에 Sonatype은 유사한 코드가 포함된 3개의 라이브러리를 더 발견했으며, 이는 다시 암호화폐 채굴기가 있는 Linux 및 Windows 시스템을 대상으로 합니다.