最近,开源项目库并不安宁。前有 Python 官方存储库 PyPI 成“祸源”,后有 JavaScript 的官方软件包管理器 NPM 感染挖矿病毒。
Node Package Manager(NPM)作为 JavaScript 的官方软件包管理器,一直广受开发者欢迎。但是近日一个超千万下载量的的 NPM 包 UAParser.js 被曝遭到黑客劫持,导致大量 Windows 与Linux 设备感染了加密货币挖矿软件病毒,甚至引起了美国网络安全部门的注意。
超千万下载量的JavaScript库中招
10 月 22 日,一款名为 UAParser.js 的 NPM 包遭到黑客攻击,并被恶意代码修改,据悉在受感染的设备上,这些代码会自动下载,并偷偷安装窃取密码程序和加密货币挖矿程序。
UAParser.js 是一个用于读取存储在用户代理字符串中的信息的 JavaScript 库,主要用于解析浏览器的用户代理,能够识别出访问者使用的浏览器、引擎、操作系统、CPU以及设备类型/型号。
而且 UAParser.js 在众多 NPM 包中非常受欢迎,该库每周下载数百万次,本月下载总量累计超过 2400 万次。根据该项目官网介绍,UAParser.js 与 Facebook、微软、亚马逊、谷歌、Elastic等科技巨头也有合作关系。
对于此次黑客攻击,UAParser.js 开发者 Faisal Salman 解释说:“ 当我的电子邮件突然被数百个网站的垃圾邮件淹没时,我注意到了一些不寻常的事情。相信有人劫持了他的 npm 帐户并发布了一些受感染的软件包 ( 0.7.29, 0.8.0,1.0.0),这些软件包可能会安装恶意软件,因此我只能使用警告消息来弃用它们。”(原文链接:https://github.com/faisalman/ua-parser-js/issues/536#issuecomment-949742904)
电脑系统不同,攻击方式不同
据了解这些脚本是从远程服务器下载和执行二进制文件,主要为 Linux 和 Windows 平台提供二进制文件,然后自动启动 Linux shell 脚本或 Windows 批量处理文件,在后台偷偷下载名为 jsextension 的门罗币挖矿程序。
如果恶意软件包检测用户系统是 Linux ,它将执行 preinstall.sh 脚本,同时检查用户是否来自俄罗斯、乌克兰等地方。如果不在上述几个地方,病毒将从 http://159.148.186.228/节点自动下载 jsextension 程序。而且这些挖矿病毒“十分机智”,为了避免被及时侦测到,jsextension 程序往往只会占用设备 50% CPU性能。
如果软件包检测用户系统是 Windows,它同样也会自动下载 jsextension.exe ,除了这个自动挖矿工具,它还会下载 sdd.dll 盗号木马文件,这个文件会被重命名为 create.dll 。这个 DLL 还是一个盗号木马,会尝试偷取存储在设备上的密码,包括 FTP 客户端、VNC、聊天软件、电子邮件客户端和浏览器等等。
普通用户该怎么应对?
由于 UAParser.js 下载量大,且与很多知名科技公司合作。10 月 22 日 晚间,美国网络安全与基础设施安全局发布预警:由于在 NPM UAParser.js 中发现恶意软件,希望用户抓紧时间更新 UAParser.js 插件。
同时GitHub 的安全团队也注意到了这一事件,并发布了自己的建议,敦促用户应重置密码和更换令牌。
总的来说,使用 UA-Parser-JS 的用户都应该检查项目中是否存在 jsextension.exe(Windows) 或jsextension(Linux)文件,如果找到请立即删除。用户应该及时变更密码、密钥并刷新令牌,避免凭证信息泄露并被攻击者掌握。
对此,你怎么看?欢迎留言评论。
参考链接:
- https://www.bleepingcomputer.com/news/security/popular-npm-library-hijacked-to-install-password-stealers-miners/
- https://therecord.media/malware-found-in-npm-package-with-millions-of-weekly-downloads/?cf_chl_jschl_tk=pmd_NL02gjF9s5Y5wx7H4tfhTO61QxuAC_LpOwJiGPiTc7s-1635128544-0-gqNtZGzNAqWjcnBszQlR