又見大規(guī)模開源軟件供應(yīng)鏈劫持,,攻擊者下發(fā)了挖礦和竊密木馬,或影響超百萬用戶和大量下游項目,。
10月22日,每周下載超數(shù)百萬次的流行NPM包UA-Parser-JS遭到黑客劫持,導(dǎo)致大量Windows與Linux設(shè)備感染了加密貨幣挖礦軟件與密碼竊取木馬,。
UA-Parser-JS可用于解析瀏覽器的用戶代理,能夠識別出訪問者使用的瀏覽器,、引擎,、操作系統(tǒng)、CPU以及設(shè)備類型/型號,。
這個項目的人氣很高,,每周下載量超數(shù)百萬次,本月下載總量超過2400萬次,。此外,,該包也被用于一千多個其他項目,身影遍布Facebook,、微軟,、亞馬遜、Instagram,、谷歌,、Slack、Mozilla,、Discord,、Elastic、Intuit,、Reddit等知名廠商,。
隨后不久(10月22日),美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局發(fā)布預(yù)警,在流行NPM包 UA-Parser-JS中發(fā)現(xiàn)惡意軟件,,敦促用戶抓緊時間更新,。
UA-Parser-JS項目被劫持大肆擴(kuò)散惡意軟件
10月22日,攻擊者開始分發(fā)惡意版本的UA-Parser-JS NPM包,,試圖向眾多Linux與Windows設(shè)備安裝加密貨幣挖礦軟件與密碼竊取木馬,。
有開發(fā)者表示,自己的NPM賬戶遭到劫持,,攻擊者先后部署了三個惡意版本,。
UA-Parser-JS開發(fā)者Faisal Salman在bug報告中解釋道,“當(dāng)時我的郵箱突然被數(shù)百個網(wǎng)站的垃圾郵件吞沒,,我馬上意識到,,肯定出了異常狀況(要不是這樣,我可能根本沒有察覺問題的出現(xiàn),,還好鬧出的動靜很大),。”
“我相信是有人劫持了我的npm賬戶,,并發(fā)布了受到感染的軟件包(0.7.29,、0.8.0、1.0.0),。這些軟件包可能會安裝惡意軟件,,具體區(qū)別可以參考代碼diff?!?/p>
受到影響的版本以及補丁修復(fù)后的版本分別為:
惡意版本
修復(fù)版本
0.7.29
0.7.30
0.8.0
0.8.1
1.0.0
1.0.1
通過開源安全廠商Sonatyp共享的惡意版本,,我們可以更好地了解這次攻擊的整個流程。
當(dāng)受到感染的軟件包被安裝在用戶設(shè)備上時,,其中的preinstall.js腳本會檢查設(shè)備上使用的操作系統(tǒng)類型,,并啟動Linux shell腳本或Windows批處理文件。
用于檢查操作系統(tǒng)類型的preinstall.js腳本
如果軟件包是安裝在Linux設(shè)備上,,則執(zhí)行preinstall.sh腳本以檢查用戶是否位于俄羅斯,、烏克蘭、白俄羅斯及哈薩克斯坦,。如果不在這些國家/地區(qū),,則該腳本將從159[.]148[.]186[.]228處下載 jsextension程序并執(zhí)行。
jsextension程序是一個XMRig Moero挖礦軟件,。為了避免被快速檢測出來,,它只會使用設(shè)備CPU的50%算力。
安裝挖礦軟件的Linux shell腳本
對于Windows設(shè)備,,批處理文件同樣會下載XMRig Monero挖礦軟件并將其保存為 jsextension.exe加以執(zhí)行,。另外,批處理文件還會從citationsherbe[.]at處下載一個sdd.dll文件,并將其保存為create.dll,。
安裝挖礦軟件的Windows批處理文件
這里下載的DLL文件是個密碼竊取木馬(可能屬于DanaBot家族),,用于竊取存儲在設(shè)備上的密碼內(nèi)容。
在使用 regsvr32.exe -s create.dll 命令完成加載后,,該DLL文件會嘗試竊取各類程序中保存的密碼,,包括主流FTP客戶端、VNC,、聊天軟件,、電子郵件客戶端以及瀏覽器等。
除了從上述程序中竊取密碼之外,,該DLL還會執(zhí)行PowerShell腳本以從Windows憑證管理器內(nèi)竊取密碼,,如下圖所示。
從Windows中竊取已保存的密碼
此次攻擊的幕后策劃者,,似乎也策劃了本周發(fā)現(xiàn)的其他惡意NPM包攻擊,。
Sonatype的研究人員先后發(fā)現(xiàn)了三個惡意NPM包,會以幾乎相同的方式在Linux及Windows設(shè)備上部署加密貨幣挖礦軟件,。
UA-Parser-JS用戶該如何應(yīng)對?
考慮到此次供應(yīng)鏈攻擊的廣泛影響,,強烈建議UA-Parser-JS的所有用戶檢查項目中是否存在惡意軟件,。
具體包括檢查是否存在 jsextension.exe (Windows) 或 jsextension (Linux)文件,如果找到請立即刪除,。
Windows用戶還應(yīng)掃描設(shè)備查找 create.dll 文件,,一旦找到請立即刪除。
雖然目前的密碼竊取木馬只影響到Windows設(shè)備,,但Linux用戶同樣不能掉以輕心,,要做好設(shè)備已經(jīng)受到全面滲透的心理準(zhǔn)備。
因此,,所有受到感染的Linux及Windows用戶都應(yīng)變更密碼,、密鑰并刷新令牌,避免憑證信息泄露并被攻擊者掌握,。
雖然全面更換密碼與訪問令牌是一項艱巨的工作,,但考慮到攻擊者可能借此奪取其他賬戶、包括在供應(yīng)鏈攻擊中進(jìn)一步滲透其他項目,,請大家萬勿抱有僥幸心態(tài),。