Sumário executivo

• Na sexta-feira, 22 de outubro de 2021, os atacantes sequestraram a conta NPM do desenvolvedor do UAParser.js.
• UaParser.js é uma biblioteca usada por aplicativos da web para detectar informações sobre os tipos de navegador e sistemas operacionais dos usuários.
• Os atacantes abusaram dessa biblioteca para distribuir malware de mineração de criptomoedas e roubo de senhas nos sistemas operacionais Windows e Linux.
• De acordo com o site do desenvolvedor, esse módulo é usado por várias grandes corporações, incluindo Facebook, Apple, Amazon, Microsoft, Slack, IBM, HPE, Dell, Oracle, Mozilla, Shopify e Reddit.

Informações da análise técnica

O processo

• Um invasor sequestrou e explorou a conta NPM do desenvolvedor do UAParser.js, Faisal Salman.
• O invasor aproveitou esse acesso para alterar o pacote de implantação da biblioteca adicionando instruções para executar um novo script chamado preinstall.js. Os scripts Windows e Linux executados pelo pacote node.js, como preinstall.bat e preinstall.sh, também foram incluídos nesse pacote.
• O sequestrador então lançou 3 novas versões com os scripts maliciosos:
  • 0,7.29
  • 0,8.0
  • 1.0.0
• Quando os pacotes comprometidos são instalados no dispositivo do usuário, um script verifica o sistema operacional e inicia o script shell preinstall.sh.
• No Linux, um script preinstall.js verifica o sistema operacional.
• No Windows, um arquivo em lotes (preinstall.bat) verifica o sistema operacional.

A declaração do desenvolvedor

• O desenvolvedor do UAParser.js, Faisal Salman, disse: “Percebi algo incomum quando meu e-mail foi subitamente inundado por spams de centenas de sites (talvez eu não perceba que algo estava acontecendo, felizmente, o efeito é exatamente o contrário). Acredito que alguém estava sequestrando minha conta npm e publicou alguns pacotes comprometidos (0.7.29, 0.8.0, 1.0.0)” em seu relatório de bug.

  Descrição detalhada

  • Linux: Se o pacote estiver em um dispositivo Linux, um script preinstall.sh será executado para verificar se o usuário está localizado na Rússia, Ucrânia, Bielorrússia ou Cazaquistão. Se o dispositivo não estiver localizado nesses países, o script baixará o programa jsextension de 159.148.186.228 (localizado na Letônia, Europa) e o executará. O programa jsextension é um Minerador XMRig Monero, que usará apenas 50% da CPU do dispositivo para evitar ser facilmente detectado. Este programa também está marcado como malicioso em Total de vírus.
  • Windows: No sistema operacional Windows, o minerador de criptomoedas XMRig Monero será baixado e salvo como jsextension.exe (Total de vírus) pelo arquivo batch (preinstall.bat) e executado. O arquivo em lote também baixará um arquivo sdd.dll do citationsherbe.at (com sede na Rússia) e o salvará como create.dll. O arquivo DLL baixado é um trojan ladrão de senhas que rouba as senhas armazenadas no dispositivo. Vários fornecedores em Total de vírus marque a DLL como “DanaBot”; uma grande família de trojans bancários direcionados aos sistemas Windows com o objetivo de roubar as credenciais do usuário armazenadas nos dispositivos. Quando a DLL é carregada, ela tenta roubar senhas de vários programas, incluindo clientes FTP, VNC, software de mensagens, clientes de e-mail e navegadores.

  Lista de programas visados pelo Stealer

  WinVNC Firefox Controle de FTP Protetor de tela 9x Safari da Apple NetDrive Controle remoto para PC Conexão de desktop remoto Becky Conta ASP.NET Cliente VPN Cisco O morcego! Chamada gratuita Faça a coisa certa Perspectiva Cypress Auvis Flashget/Jetcar Eudora CamFrog Gerenciador de FTP do FAR Notificador do Gmail Win9x NetCache Windows/Total Commander Agente Mail.Ru ICQ2003/Lite WS_FTP IncrediMail “&RQ, R&Q” FTP fofo Correio em grupo grátis Yahoo! Mensageiro Flash FXP PocoMail Digsby FileZilla Agente Forte Odigo Comandante de FTP Escriba IM2/Mensageiro 2 Cliente FTP à prova de balas Peeper POP Google Talk FTP inteligente Comandante de correio Faim TurboFTP Windows Live Mail MySpace IM <FFFTP Mozilla Thunderbird Mensageiro do MSN CoffeeCup FTP Macaco marinho Windows Live Messenger FTP principal Rebanho Paltalk Explorador de FTP Baixe Master Excite o Mensageiro Privado Fragate3 FTP Acelerador de downloads da Internet Projeto Gizmo SecureFX IEWebCert AIM Pro UltraFXP PWS de preenchimento automático do IE Pandion FTP Rush Contas VPN Trilliano Astra Editor do site Miranda 888 Poker BitKinex GANHO Full Tilt Poker Expandir Drive Pidgin PokerStars FTP clássico QIP. Online Titan Poker Arremessar JAJC PartyPoker Cliente FTP SoftX WebCred Cake Poker Diretório Opus Credenciais do Windows UB Poker Carregador de FTP Discador MuxaSoft Tipo de discador FTP grátis/FTP direto Dialer flexível e flexível Senhas RAS LeapFTP Dialer Queen Internet Explorer WinSCP VDialer cromada FTP de 32 bits Discador avançado Ópera WebDrive Windows RAS O ladrão de senhas não apenas rouba senhas dos programas listados acima, mas também executa um script do PowerShell que rouba senhas do gerenciador de credenciais do Windows. Esse truque traz à tona os perigos até então desconhecidos do envenenamento de repositórios de código aberto. Em outubro, havia três outros ataques baseados em NPM, todos eles tentaram instalar mineradores usando bibliotecas JavaScript falsas que alegavam ter a mesma funcionalidade da que foi invadida.

  Impacto e mitigação

  Impacto Mitigação
  • Se você estiver executando qualquer uma das versões maliciosas, os atacantes podem ter as credenciais de vários serviços, conforme indicado acima.
  • Depois que os invasores tiverem suas credenciais, eles poderão abusar delas para realizar atividades relacionadas à espionagem ou causar danos a outros projetos ou arquivos associados à conta comprometida.
  • Os invasores também podem usar os recursos do seu sistema para minerar criptomoedas, o que pode levar a uma redução significativa no desempenho do sistema.
  • Recomendamos executar os comandos abaixo no Linux para saber se você está executando uma versão maliciosa. Os usuários também podem verificar a existência de “jsextension” e excluí-lo imediatamente, se encontrado. Encontre/-name “package-lock.json” -exec grep --color -ehNi “ua-parser-js- (0.7.29|0.8.0|1.0.0)” {}\; 2>/dev/null
  • Examine dispositivos Windows em busca de um arquivo create.dll e exclua-o imediatamente. Se encontrado, é melhor presumir que o sistema foi comprometido.
  • Os usuários do Windows também devem verificar o arquivo package.json para saber a versão que estão executando e tomar as medidas apropriadas.
  • Os usuários também podem verificar o tráfego da rede em busca de domínios associados a aplicativos de mineração de moedas. Consulte o link a seguir para encontrar uma lista de aplicativos de mineração de moedas: https://www.nextron-systems.com/2021/10/24/monero-mining-pool-fqdns/
  • Alterne as credenciais e os tokens de acesso para todos os serviços, para reduzir ainda mais o comprometimento das contas.
  • Atualize para as versões corrigidas:
    • 0,7.30
    • 0.8.1
    • 1.0.1

  TTPs e IOCs

  Tipo de indicador Dados Notas SHA256 30ee628504faea18dc99602971aafbc05a0b05dc964797edf49633f67cd178e2 Pacote NPM UA-Parser, contendo UAParser.js 0.7.28 legítimo e três arquivos maliciosos de carga útil SHA256 e6cba23d350cb1f049266ddf10f872216f193c5279017408b869539df2e73c83 Script de instalação JS malicioso, detectado como JS/BadNode-A SHA256 f4c800066e56dd32d20299c451fe6a2b60a3563f7f1915f8ca8db9916d810b5c Arquivo.BAT malicioso (BAT/badnode-A) SHA256 21e68b048024ba0cc5a2a94ecbc3a78c626ec7d5d705829a82ea4715131d0509 Shellscript Linux malicioso (sh/BadNode-A) SHA256 7f986cd3c946f274cdec73f80b84855a77bc2a3c765d68897fbc42835629a5d5 XMRig Miner (PUA) para Windows SHA256 2a3acdcd76575762b18c18c644a745125f55ce121f742d2aad962521bc7f25fd DLL maliciosa que carrega DanaBot (Mal/EnCPK-AQC) SHA256 ea131cc5ccf6aa6544d6cb29cdb78130feed061d2097c6903215be1499464c2e Minerador Linux XMRig SHA256 bb8ccdcf17761f1e86d8ebbc1a12b123929c48c5eea4739b7619bd53728d412b Nova versão do empacotador de DLL malicioso Nome do arquivo preinstall.js Script de instalação JS malicioso, detectado como JS/BadNode-A Nome do arquivo preinstall.bat Arquivo.BAT malicioso (BAT/badnode-A) Nome do arquivo preinstall.sh Shellscript Linux malicioso (sh/BadNode-A) Nome do arquivo create.dll Cópia do empacotador sdd.dll URL https://citationsherbe.at/sdd.dll URL de download de DLL malicioso URL http://159.148.186.228/download/jsextension URL de download do Linux XMRig Miner URL http://159.148.186.228/download/jsextension.exe URL de download do Windows XMRig Miner Endereço IP 194,76,225,46 C2 para homem/ENCPK-AQC Endereço IP 185,158,250. 216:443 C2 para malware de roubo de credenciais Endereço IP 45,111,180. 153:443 C2 para malware de roubo de credenciais Endereço IP 194,76,225. 61:443 C2 para malware de roubo de credenciais