千万级月下载量的 NPM 包 ua-parser-js 被恶意劫持

内容简介：2021 年10月22日，Npm 官方仓库 ua-parser-js 被恶意劫持，多个版本被植入了挖矿脚本。 什么是 ua-parser-js ua-parser-js 包是一个 JavaScript 库，用于 从User-Agent 中解析出浏览器、引擎、操作系统、CPU 和设...

2021 年10月22日，Npm 官方仓库 ua-parser-js 被恶意劫持，多个版本被植入了挖矿脚本。

什么是 ua-parser-js

ua-parser-js 包是一个 JavaScript 库，用于 从User-Agent 中解析出浏览器、引擎、操作系统、CPU 和设备类型/模型等相关的设备信息，被广泛应用于JavaScript开发。这个库非常受欢迎，每周下载数百万次，本月下载量超过 2400 万次，被用于一千多个项目，包括 Facebook、微软、亚马逊、Instagram、谷歌、Slack、Mozilla、Discord、Elastic、Intuit、Reddit 等公司的项目。

攻击过程

10 月 22 日，攻击者劫持了 NPM 某位开发者的账号，并发布了恶意版本的 ua-parser-js NPM 库，这个库会在 Linux 和 Windows 设备上自动安装矿工程序和盗取密码的木马。

受感染的软件包安装在用户的设备上时，preinstall.js 脚本会检查设备上使用的操作系统类型，然后启动 Linux shell 脚本或 Windows 批量处理文件。

如果软件包在 Linux 设备上，它将执行 preinstall.sh 脚本，来检查用户是不是在俄罗斯、乌克兰、白俄罗斯和哈萨克斯坦这几个地方，不在的话就从 http://159.148.186.228/download/jsextension 下载 jsextension 程序来挖矿。jsextension 是一个门罗币挖矿程序，为了避免被及时侦测到，它只会占用设备 50% CPU。

如果软件包在 Windows 设备上，它也会自动下载 jsextension.exe ，除了这个自动挖矿工具，它还会下载 sdd.dll 文件，这个文件会被命名为 create.dll 。这个 DLL 是一个盗号木马，会尝试偷取存储在设备上的密码，包括 FTP 客户端、VNC、聊天软件、电子邮件客户端和浏览器等等，DLL 还会执行 PowerShell 脚本从 Windows 证书管理器中窃取密码。

如何预防/补救？

建议所有使用 ua-parser-js 库的用户都检查一下自己的项目有没有被感染。

• 确认于2021 年 10 月 22 日 是否安装或更新过 ua-parser-js 包。
• 确认是否有相关组件依赖于 ua-parser-js 包。
• 检查设备里有没有 jsextension.exe (Windows) 或 jsextension (Linux)，并彻底删除。
• Windows 用户请查找 create.dll 文件并彻底删除。

已经受感染的 Linux 和 Windows 用户，所有在被感染设备登陆过的账号，都要更改密码！

以上就是本文的全部内容，希望本文的内容对大家的学习或者工作能带来一定的帮助，也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

• 谷歌：TensorFlow 在中国下载量已达 200 万
• 超实用的 IDEA 插件推荐！百万级下载量
• 百万下载量的 Android 应用后台收集用户信息
• 一线｜谷歌TensorFlow中国地区下载量已超200万
• 用Python爬取各Android市场应用下载量（3分钟学会）
• VLC 下载量突破 30 亿，Android 版本将支持 AirPlay

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。