В 3 версиях популярного NPM-пакета обнаружен криптомайнер

В 3 версиях популярного NPM-пакета обнаружен криптомайнер

Неизвестные взломали аккаунт разработчика UAParser.js и загрузили вредоносные версии пакета.

Агентство по кибербезопасности и защите инфраструктуры США предупредило о существовании нескольких вредоносных версий популярной NPM-библиотеки UAParser.js для парсинга заголовка User-Agent, содержащих ПО для добычи криптовалюты и хищения паролей.

В частности, криптомайнер был обнаружен в версиях UAParser.js 0.7.29, 0.8.0 и 1.0.0, опубликованных в NPM-репозитории 21 октября. По словам разработчика библиотеки Фейсала Салмана (Faisal Salman), кто-то взломал его учетную запись и опубликовал вредоносные пакеты.

Проблема была исправлена в версиях 0.7.30, 0.8.1 и 1.0.1.

«Любой компьютер, на котором работает или установлен этот пакет, следует считать полностью скомпрометированным. Все секреты и ключи, хранящиеся на нем, нужно отозвать незамедлительно. Пакет следует удалить, однако в виду того, что существует вероятность перехвата управления компьютеров внешней стороной, нет гарантий, что удаление пакета повлечет за собой удаление вредоносного ПО, установленного с его помощью», - предупредила администрация GitHub.

На этой неделе ИБ-специалисты сообщили о наличии вредоносного кода в еще трех NPM-пакетах - okhsa, klow и klown. Пакеты, устанавливающие криптомайнер на системы под управлением Windows, macOS и Linux, были замаскированы под парсеры заголовка User-Agent и загружены одним и тем же автором 15 октября.


Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!