Malware descubierto en la biblioteca de JavaScript a la que acceden millones cada semana

Los piratas informáticos han atacado una popular biblioteca de JavaScript utilizada por las principales empresas mundiales de tecnología para propagar malware e instalar ladrones de contraseñas y mineros de criptomonedas en las máquinas de las víctimas.

La biblioteca UAParser.js JavaScript, a la que se accede más de 7 millones de veces por semana, se utiliza para detectar datos de agente de usuario de pequeña huella, como el navegador y el sistema operativo de un visitante, y se sabe que la utilizan empresas como Facebook, Microsoft, Amazon, Reddit y muchos más gigantes tecnológicos.

El secuestro del paquete, que supuestamente tuvo lugar el 22 de octubre, vio a un actor de amenazas publicar versiones maliciosas de la biblioteca UAParser.js para apuntar a máquinas Linux y Windows.

Si se hubiera descargado en la máquina de una víctima, el paquete malicioso podría haber permitido a los piratas informáticos obtener información confidencial o tomar el control de su sistema, según una alerta emitida por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el viernes.

El actor de amenazas obtuvo acceso a la cuenta del desarrollador y la usó para distribuir las versiones infectadas, según el autor del paquete, Faisal Salman, en una discusión realizada en GitHub.

Al disculparse por las circunstancias, Salman dijo:"Noté algo inusual cuando mi correo electrónico se inundó repentinamente con spam de cientos de sitios web. Creo que alguien estaba secuestrando mi cuenta npm y publicó algunos paquetes comprometidos (0.7.29, 0.8.0, 1.0. 0) que probablemente instalará malware".

Una vez que identificó las versiones infectadas, Salman marcó cada una de ellas por contener malware y las eliminó de la plataforma.

Un usuario afectado analizó los paquetes comprometidos y descubrió una secuencia de comandos que intentaba exportar las credenciales de su sistema operativo y una copia del archivo de base de datos de cookies de su navegador Chrome.

Análisis adicional de Sonatype, visto por Bleeping Computer , muestra que el código malicioso verificará el sistema operativo utilizado en el dispositivo de la víctima y, según el sistema operativo utilizado, iniciará un script de shell de Linux o un archivo por lotes de Windows.

El paquete iniciaría una secuencia de comandos preinstall.sh para verificar los dispositivos Linux si el usuario se encontraba en Rusia, Ucrania, Bielorrusia y Kazajstán. Si el dispositivo estuviera ubicado en otro lugar, la secuencia de comandos descargaría un minero de criptomonedas XMRig Monero diseñado para usar el 50 % de la potencia de la CPU de la víctima para evitar la detección.

Para los usuarios de Windows, se instalaría el mismo minero Monero además de un troyano que roba contraseñas, que Sonatype especula que es DanaBot, un troyano bancario utilizado por grupos del crimen organizado.

Un análisis más detallado también mostró que el ladrón de contraseñas también intentó robar contraseñas del administrador de credenciales de Windows mediante un script de PowerShell.

Se recomienda a los usuarios de la biblioteca UAParser.js que verifiquen la versión utilizada en sus proyectos y actualicen a la última versión, que está libre de código malicioso.

En la misma semana, Sonatype también descubrió tres bibliotecas más que contenían un código similar, nuevamente dirigidas a máquinas Linux y Windows con mineros de criptomonedas.