ワタスはダイジョウブ？

 パッケージ管理ツールのnpmで公開されているUAParser.js

ユーザーエージェントの判定処理を実行するJavaScriptライブラリであり、Facebook・Microsoft・Amazon・Googleなどの超大手企業を含む1000以上のプロジェクトで採用されてる

そんなUAParser.jsがハッカーによってハイジャックされ、LinuxおよびWindowsデバイスを対象に暗号資産採掘やパスワードの盗難を行うトロイの木馬が仕込まれていたことが判明

Security issue: compromised npm packages of ua-parser-js (0.7.29, 0.8.0, 1.0.0) - Questions about deprecated npm package ua-parser-js · Issue #536 · faisalman/ua-parser-js · GitHub

https://github.com/faisalman/ua-parser-js/issues/536

Popular NPM library hijacked to install password-stealers, miners

https://www.bleepingcomputer.com/news/security/popular-npm-library-hijacked-to-install-password-stealers-miners/

Malware found in npm package with millions of weekly downloads - The Record by Recorded Future

https://therecord.media/malware-found-in-npm-package-with-millions-of-weekly-downloads/

UAParser.jsはウェブサイトを訪れたユーザーのユーザーエージェント文字列を解析

ブラウザの種類やレンダリングエンジン、OS、CPU、デバイスの種類やモデルを識別するために使用されるライブラリ

非常に便利であることから、Facebook・Microsoft・Amazon・Google・Instagram・Slack・Mozilla・Discordなどの有名企業を含む数多くのプロジェクトが使用

1週間に数百万回もダウンロードされるほど

IT系ニュースサイトのBleeping Computerによると

2021/10のダウンロード数は10/23の時点で2400万回を超えてる

ところが、2021/10/22にnpmで配布されたUAParser.jsの新たなバージョンには、ダウンロードしたLinuxおよびWindowsデバイスにマルウェアをインストールするトロイの木馬が仕込まれていたことが判明

開発者のFaisal Salman氏はバグレポートの報告で

「みなさんこんにちは、そして申し訳ありません。数百のウェブサイトから大量のスパムメールが殺到した時、何かが変わったことに気付きました。何者かが私のnpmアカウントをハイジャックし、いくつかの欠陥があるパッケージ(0.7.29、0.8.0、1.0.0)をリリースしたようです。以前のバージョンとの差分からわかるように、これはおそらくマルウェアをインストールします」

ハッカーに侵害されたUAParser.jsをインストールすると

preinstall.jsスクリプトがデバイスで使用されているOSの種類をチェック

OSに応じてLinuxシェルスクリプトまたはWindowsバッチファイルを起動

デバイスがLinuxだった場合、preinstall.shスクリプトが実行されてユーザーがロシア・ウクライナ・ベラルーシ・カザフスタンにいるかどうか確認

これらの国でなかった場合はjsextensionプログラムを実行する

jsextensionプログラムは暗号資産のMoneroを採掘するツールのXMRigを設置

ユーザーから検出されにくいようにCPUの50％のみを使用してMoneroを採掘

・・・芸が細かい

デバイスがWindowsだった場合はXMRigをjsextension.exeとして保存することに加え

バッチファイルがsdd.dllファイルをダウンロードしてcreate.dllとして保存

ダウンロードするDLLはデバイスに保存されているパスワードを盗もうとするトロイの木馬

おそらくDanaBotではないかとみられてる

DLLがロードされるとメッセージアプリ・ブラウザ・FTPクライアント・VNC・ゲームアプリなどのプログラムや、Windows資格情報マネージャーからもパスワードを盗む

今回の攻撃を行ったハッカーは、他のnpmライブラリに同様の攻撃を仕掛けたハッカーと同一だと推測されてる

Salman氏はnpmアカウントのハッキングに気付いてから数時間後に、問題を修正したクリーンなUAParser.jsのバージョン(0.7.30、0.8.1、1.0.1)をリリース

記事作成時点では、欠陥のあるパッケージ「0.7.29、0.8.0、1.0.0」はnpmサポートを通じて非公開とされておりダウンロードできない状態

BleepingComputerは

UAParser.jsを介したサプライチェーン攻撃の影響は広範囲に及び、全てのユーザーはプロジェクトに悪意のあるバージョンが含まれていないか確認するべきだと

jsextensionやjsextension.exeが存在する場合はこれらを削除

Windowsユーザーの場合はcreate.dllを速やかに削除すべき

また、パスワードを盗むトロイの木馬に感染したのはWindowsユーザーだけだと考えられているものの

Linuxユーザーも自身のデバイスが危険にさらされていると想定する方が賢明だと

トロイの木馬に感染した全てのWindowsおよびLinuxユーザーは、パスワードやトークンを変更する必要があると・・・

・・・はあ～

ワタスは、とりあえずダイジョウブそう

今日は～

アガベ　ジプソフィラ/Agave gypsophila

今年６月に来たコ

新しいハッパが展開

ほとんどハッパの痛みが気にならなくなった

ブルーっぽい葉がいい感じ

これに白い縞とか入ってると興ざめ

お珍しいモノ好きの気持ちはワからんでもないけど

やっぱコッチのがイイわ～