Μια πολύ δημοφιλής βιβλιοθήκη JavaScript (πακέτο npm) παραβιάστηκε και τροποποιήθηκε με κακόβουλο κώδικα που κατεβάζει και εγκαθιστά έναν cryptocurrency miner στα συστήματα που λειτουργούν οι παραβιασμένες εκδόσεις.
Το περιστατικό εντοπίστηκε την Παρασκευή 22 Οκτωβρίου. Επηρεάζει το UAParser.js, μια βιβλιοθήκη JavaScript για την ανάγνωση πληροφοριών που είναι αποθηκευμένες μέσα σε συμβολοσειρές.
Σύμφωνα με τον επίσημο ιστότοπο της βιβλιοθήκης χρησιμοποιείται από πάρα πολλές μεγάλες εταιρείες όπως τις Facebook, Apple, Amazon, Microsoft, Slack, IBM, HPE, Dell, Oracle, Mozilla, Shopify, Reddit και πολλές άλλες από τις ελίτ της Silicon Valley.
Η συγκεκριμένη βιβλιοθήκη έχει από 6 έως 7 εκατομμύρια εβδομαδιαίες λήψεις, σύμφωνα με τη σελίδα της npm.
- Οι παραβιασμένες εκδόσεις είναι οι: 0.7.29, 0.8.0, 1.0.0, ενώ οι αντίστοιχες ενημερωμένες εκδόσεις οι: 0.7.30, 0.8.1, 1.0.1
“Πιστεύω ότι κάποιος παραβίασε τον npm λογαριασμό μου και κυκλοφόρησε κάποια παραβιασμένα πακέτα (0.7.29, 0.8.0, 1.0.0) τα οποία πιθανότατα θα εγκαταστήσουν κακόβουλο λογισμικό”, δήλωσε ο Faisal Salman, συγγραφέας της βιβλιοθήκης UAParser.js.
Λίγες ώρες μετά την ανακάλυψη του hack, ο Salman αφαίρεσε τις παραβιασμένες εκδόσεις της βιβλιοθήκης και κυκλοφόρησε καθαρές.
Η ανάλυση του κακόβουλου κώδικα αποκάλυψε επιπλέον scripts που θα κατέβαζαν και θα έτρεχαν binaries από έναν απομακρυσμένο διακομιστή. Βρέθηκαν binaries για πλατφόρμες Linux αλλά και για Windows. Οι χρήστες των Windows ανέφεραν ότι το Defender απέκλειε τα binaries σαν Trojan: Win32/Ceprolad.A.
Λόγω του μεγάλου αριθμού λήψεων και των μεγάλων εταιρειών που χρησιμοποιούν τη βιβλιοθήκη, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA από το Cybersecurity and Infrastructure Security Agency) παρενέβη και δημοσίευσε μια προειδοποίηση ασφαλείας αργά το βράδυ της Παρασκευής για το περιστατικό, προτρέποντας στους προγραμματιστές να ενημερώσουν σε ασφαλείς εκδόσεις.
Η ομάδα ασφαλείας του GitHub ανέφερε επίσης το συγκεκριμένο περιστατικό και συμβουλεύει τους προγραμματιστές να είναι πολύ προσεκτικοί, προτρέποντας την άμεση επαναφορά των κωδικών πρόσβασης.
Κάθε υπολογιστής που έχει εγκαταστήσει ή τρέχει αυτό το πακέτο θα πρέπει να θεωρείται πλήρως παραβιασμένος. Το πακέτο πρέπει να αφαιρεθεί, αλλά καθώς ο πλήρης έλεγχος του υπολογιστή μπορεί να έχει δοθεί σε κάποια εξωτερική οντότητα, δεν υπάρχει εγγύηση ότι η αφαίρεση του πακέτου θα αφαιρέσει όλο το κακόβουλο λογισμικό.
