Неизвестные взломали аккаунт разработчика UAParser.js и загрузили вредоносные версии пакета.
Агентство по кибербезопасности и защите инфраструктуры США предупредило о существовании нескольких вредоносных версий популярной NPM-библиотеки UAParser.js для парсинга заголовка User-Agent, содержащих ПО для добычи криптовалюты и хищения паролей.
В частности, криптомайнер был обнаружен в версиях UAParser.js 0.7.29, 0.8.0 и 1.0.0, опубликованных в NPM-репозитории 21 октября. По словам разработчика библиотеки Фейсала Салмана (Faisal Salman), кто-то взломал его учетную запись и опубликовал вредоносные пакеты.
Проблема была исправлена в версиях 0.7.30, 0.8.1 и 1.0.1.
«Любой компьютер, на котором работает или установлен этот пакет, следует считать полностью скомпрометированным. Все секреты и ключи, хранящиеся на нем, нужно отозвать незамедлительно. Пакет следует удалить, однако в виду того, что существует вероятность перехвата управления компьютеров внешней стороной, нет гарантий, что удаление пакета повлечет за собой удаление вредоносного ПО, установленного с его помощью», - предупредила администрация GitHub.
На этой неделе ИБ-специалисты сообщили о наличии вредоносного кода в еще трех NPM-пакетах - okhsa, klow и klown. Пакеты, устанавливающие криптомайнер на системы под управлением Windows, macOS и Linux, были замаскированы под парсеры заголовка User-Agent и загружены одним и тем же автором 15 октября.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках