請自查！ua-parser-js等開源庫遭投毒，攻擊版本及路徑深入分析曝光

2021年10月22日，微步情報局監測發現Npm倉庫ua-parser-js官方賬號被惡意劫持，并且投放惡意ua-parser-js安裝包，涉及多個安裝包版本，投毒軟件包中的惡意代碼會根據受害者系統版本遠程下載挖礦和竊密木馬運行，該軟件包每周下載量超百萬次，影響面頗廣。目前ua-parser-js庫官方作者已經發布更新版本進行修復，微步在線提醒廣大開發者和企業盡快進行自查，確認惡意庫被清除，并更新至最新版本(1.0.1)。

分析發現如下：

• 涉及三個相關軟件包版本，除針對Windows和Linux平臺進行挖礦外，還會下載Danabot惡意木馬竊密。
• 此次供應鏈攻擊活動發生前，在NPM平臺上已經出現多次同源安裝包投毒攻擊。
• 本次供應鏈攻擊活動使用資產與近期Matanbuchus木馬攻擊活動存在重疊，背后可能是同一攻擊團伙。
• 微步在線通過對相關樣本、IP和域名的溯源分析，共提取8條相關IOC，可用于威脅情報檢測，微步在線威脅感知平臺TDP、本地威脅情報管理平臺TIP、威脅情報云API、互聯網安全接入服務OneDNS、微步在線終端安全響應系統OneEDR等均已支持對此次攻擊事件和團伙的檢測。如需協助，請與我們聯系：contactus@threatbook.cn。

軟件信息和影響范圍

ua-parser-js是一個開源輕量級JavaScript庫，用于從用戶代理數據中檢測瀏覽器、引擎、操作系統、CPU和設備類型/模型，占用空間較小，可在瀏覽器(客戶端)或者Node.js(服務端)使用，該庫被Facebook、蘋果、亞馬遜、微軟、Slack、IBM、HPE、戴爾、甲骨文、Mozilla、Shopify、Reddit等許多大型科技、互聯網公司使用。

根據ua-parser-js庫作者聲明和微步在線監測到發布版本信息，確認目前受影響的軟件包版本如下：

• lua-parser-js 0.7.29
• lua-parser-js 0.8.0
• lua-parser-js 1.0.0

詳細分析

以捕獲到惡意軟件包版本 0.7.29為例進行分析，下載惡意軟件包后，運行安裝腳本preinstall.js，該安裝腳本會根據本地系統進行選擇運行不同腳本，涉及Windows和Linux，暫未發現涉及MacOS惡意腳本。

如果是Windows系統則會運行preinstall.bat腳本，該腳本執行后會分別去下載挖礦木馬和竊密木馬運行。

經過分析，下載的竊密木馬為Danabot惡意木馬，該木馬具有下載執行模塊，執行shell命令，更新C2地址，屏幕截圖，竊取瀏覽器、FTP等軟件登錄憑證等功能。

如果是Linux系統則會運行preinstall.sh腳本，該腳本首先會判斷當前運行機器ip所在地是否為俄羅斯、烏克蘭、白俄羅斯或者哈薩克斯坦，如果不在以上所在國家，則繼續下載挖礦木馬進行挖礦。

疑似攻擊者歷史活動

微步在線觀察到疑似該攻擊者曾在幾周前發布過類似惡意軟件包，該類軟件包聲稱為正版合法ua-parser-js軟件包，并且幾種惡意軟件包均為同一作者發布。

相關歷史早期惡意軟件包信息如下：

分析發現這些惡意軟件包使用與此次ua-parser-js官方庫惡意版本相同的代碼和惡意挖礦木馬。

同時此次供應鏈攻擊活動中使用下載竊密木馬的域名，曾在近期Matanbuchus木馬攻擊活動中出現，所以此次供應鏈攻擊不排除是同一黑客團伙所為。而該域名早在今年6月被微步在線識別標記為Matanbuchus，并且支持產品檢測。

總結與處置建議

由于此次供應鏈涉及到Npm此類大型第三方軟件包管理平臺以及ua-parser-js這類受歡迎度頗高的開源軟件庫，導致此次供應鏈攻擊事件影響范圍頗廣。而在此次供應鏈攻擊發生前，已經出現多次疑似同源攻擊，可以發現攻擊者已經做過多次“預演”，為此次攻擊做足了準備。微步在線將對此類供應鏈攻擊活動繼續保持高度關注，此外，針對此次供應鏈攻擊，微步在線提供以下相關處置建議：

• 檢查最近更新ua-parser-js軟件包版本和時間，是否與此次相關惡意軟件包版本一致。
• 如果安裝過惡意版本軟件包請及時清理惡意木馬、排查其他攻擊痕跡和修改相關賬戶密碼，并更新軟件包為最新版本。
• 微步在線通過對相關樣本、IP和域名的溯源分析，提取多條相關IOC，可用于威脅情報檢測。微步在線威脅感知平臺TDP、本地威脅情報管理平臺TIP、威脅情報云API、互聯網安全接入服務OneDNS、微步在線終端安全響應系統OneEDR等均已支持對此次攻擊事件和團伙的檢測。如需協助，請與我們聯系：contactus@threatbook.cn。