最近,開源專案庫并不安寧,前有 Python 官方存盤庫 PyPI 成“禍源”,后有 JavaScript 的官方軟體包管理器 NPM 感染挖礦病毒,
Node Package Manager(NPM)作為 JavaScript 的官方軟體包管理器,一直廣受開發者歡迎,但是近日一個超千萬下載量的的 NPM 包 UAParser.js 被曝遭到黑客劫持,導致大量 Windows 與Linux 設備感染了加密貨幣挖礦軟體病毒,甚至引起了美國網路安全部門的注意,
超千萬下載量的JavaScript庫中招
10 月 22 日,一款名為 UAParser.js 的 NPM 包遭到黑客攻擊,并被惡意代碼修改,據悉在受感染的設備上,這些代碼會自動下載,并偷偷安裝竊取密碼程式和加密貨幣挖礦程式,
UAParser.js 是一個用于讀取存盤在用戶代理字串中的資訊的 JavaScript 庫,主要用于決議瀏覽器的用戶代理,能夠識別出訪問者使用的瀏覽器、引擎、作業系統、CPU以及設備型別/型號,
而且 UAParser.js 在眾多 NPM 包中非常受歡迎,該庫每周下載數百萬次,本月下載總量累計超過 2400 萬次,根據該專案官網介紹,UAParser.js 與 Facebook、微軟、亞馬遜、谷歌、Elastic等科技巨頭也有合作關系,
對于此次黑客攻擊,UAParser.js 開發者 Faisal Salman 解釋說:“ 當我的電子郵件突然被數百個網站的垃圾郵件淹沒時,我注意到了一些不尋常的事情,相信有人劫持了他的 npm 帳戶并發布了一些受感染的軟體包 ( 0.7.29, 0.8.0,1.0.0),這些軟體包可能會安裝惡意軟體,因此我只能使用警告訊息來棄用它們,”(原文鏈接:https://github.com/faisalman/ua-parser-js/issues/536#issuecomment-949742904)
電腦系統不同,攻擊方式不同
據了解這些腳本是從遠程服務器下載和執行二進制檔案,主要為 Linux 和 Windows 平臺提供二進制檔案,然后自動啟動 Linux shell 腳本或 Windows 批量處理檔案,在后臺偷偷下載名為 jsextension 的門羅幣挖礦程式,
如果惡意軟體包檢測用戶系統是 Linux ,它將執行 preinstall.sh 腳本,同時檢查用戶是否來自俄羅斯、烏克蘭等地方,如果不在上述幾個地方,病毒將從 http://159.148.186.228/節點自動下載 jsextension 程式,而且這些挖礦病毒“十分機智”,為了避免被及時偵測到,jsextension 程式往往只會占用設備 50% CPU性能,
如果軟體包檢測用戶系統是 Windows,它同樣也會自動下載 jsextension.exe ,除了這個自動挖礦工具,它還會下載 sdd.dll 盜號木馬檔案,這個檔案會被重命名為 create.dll ,這個 DLL 還是一個盜號木馬,會嘗試偷取存盤在設備上的密碼,包括 FTP 客戶端、VNC、聊天軟體、電子郵件客戶端和瀏覽器等等,
普通用戶該怎么應對?
由于 UAParser.js 下載量大,且與很多知名科技公司合作,10 月 22 日 晚間,美國網路安全與基礎設施安全域發布預警:由于在 NPM UAParser.js 中發現惡意軟體,希望用戶抓緊時間更新 UAParser.js 插件,
同時GitHub 的安全團隊也注意到了這一事件,并發布了自己的建議,敦促用戶應重置密碼和更換令牌,
總的來說,使用 UA-Parser-JS 的用戶都應該檢查專案中是否存在 jsextension.exe(Windows) 或jsextension(Linux)檔案,如果找到請立即洗掉,用戶應該及時變更密碼、密鑰并重繪令牌,避免憑證資訊泄露并被攻擊者掌握,
對此,你怎么看?歡迎留言評論,
參考鏈接:
- https://www.bleepingcomputer.com/news/security/popular-npm-library-hijacked-to-install-password-stealers-miners/
- https://therecord.media/malware-found-in-npm-package-with-millions-of-weekly-downloads/?cf_chl_jschl_tk=pmd_NL02gjF9s5Y5wx7H4tfhTO61QxuAC_LpOwJiGPiTc7s-1635128544-0-gqNtZGzNAqWjcnBszQlR
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/339222.html
標籤:其他
上一篇:可編程的SQL是什么樣的?