美國監管機構緊急警告：每周下載數百萬次的NPM包遭黑客劫持 - 網安

10月22日，每周下載超數百萬次的流行NPM包UA-Parser-JS遭到黑客劫持，導致大量Windows與Linux設備感染了加密貨幣挖礦軟件與密碼竊取木馬。

UA-Parser-JS可用于解析瀏覽器的用戶代理，能夠識別出訪問者使用的瀏覽器、引擎、操作系統、CPU以及設備類型/型號。

這個項目的人氣很高，每周下載量超數百萬次，本月下載總量超過2400萬次。此外，該包也被用于一千多個其他項目，身影遍布Facebook、微軟、亞馬遜、Instagram、谷歌、Slack、Mozilla、Discord、Elastic、Intuit、Reddit等知名廠商。

隨后不久(10月22日)，美國網絡安全與基礎設施安全局發布預警，在流行NPM包 UA-Parser-JS中發現惡意軟件，敦促用戶抓緊時間更新。

UA-Parser-JS項目被劫持大肆擴散惡意軟件

10月22日，攻擊者開始分發惡意版本的UA-Parser-JS NPM包，試圖向眾多Linux與Windows設備安裝加密貨幣挖礦軟件與密碼竊取木馬。

有開發者表示，自己的NPM賬戶遭到劫持，攻擊者先后部署了三個惡意版本。

UA-Parser-JS開發者Faisal Salman在bug報告中解釋道，“當時我的郵箱突然被數百個網站的垃圾郵件吞沒，我馬上意識到，肯定出了異常狀況(要不是這樣，我可能根本沒有察覺問題的出現，還好鬧出的動靜很大)。”

“我相信是有人劫持了我的npm賬戶，并發布了受到感染的軟件包(0.7.29、0.8.0、1.0.0)。這些軟件包可能會安裝惡意軟件，具體區別可以參考代碼diff。”

受到影響的版本以及補丁修復后的版本分別為：

通過開源安全廠商Sonatyp共享的惡意版本，我們可以更好地了解這次攻擊的整個流程。

當受到感染的軟件包被安裝在用戶設備上時，其中的preinstall.js腳本會檢查設備上使用的操作系統類型，并啟動Linux shell腳本或Windows批處理文件。

用于檢查操作系統類型的preinstall.js腳本

如果軟件包是安裝在Linux設備上，則執行preinstall.sh腳本以檢查用戶是否位于俄羅斯、烏克蘭、白俄羅斯及哈薩克斯坦。如果不在這些國家/地區，則該腳本將從159[.]148[.]186[.]228處下載 jsextension程序并執行。

jsextension程序是一個XMRig Moero挖礦軟件。為了避免被快速檢測出來，它只會使用設備CPU的50%算力。

安裝挖礦軟件的Linux shell腳本

對于Windows設備，批處理文件同樣會下載XMRig Monero挖礦軟件并將其保存為 jsextension.exe加以執行。另外，批處理文件還會從citationsherbe[.]at處下載一個sdd.dll文件，并將其保存為create.dll。

安裝挖礦軟件的Windows批處理文件

這里下載的DLL文件是個密碼竊取木馬(可能屬于DanaBot家族)，用于竊取存儲在設備上的密碼內容。

在使用 regsvr32.exe -s create.dll 命令完成加載后，該DLL文件會嘗試竊取各類程序中保存的密碼，包括主流FTP客戶端、VNC、聊天軟件、電子郵件客戶端以及瀏覽器等。

除了從上述程序中竊取密碼之外，該DLL還會執行PowerShell腳本以從Windows憑證管理器內竊取密碼，如下圖所示。

從Windows中竊取已保存的密碼

此次攻擊的幕后策劃者，似乎也策劃了本周發現的其他惡意NPM包攻擊。

Sonatype的研究人員先后發現了三個惡意NPM包，會以幾乎相同的方式在Linux及Windows設備上部署加密貨幣挖礦軟件。

UA-Parser-JS用戶該如何應對？

考慮到此次供應鏈攻擊的廣泛影響，強烈建議UA-Parser-JS的所有用戶檢查項目中是否存在惡意軟件。

具體包括檢查是否存在 jsextension.exe(Windows)或 jsextension(Linux)文件，如果找到請立即刪除。

Windows用戶還應掃描設備查找 create.dll 文件，一旦找到請立即刪除。

雖然目前的密碼竊取木馬只影響到Windows設備，但Linux用戶同樣不能掉以輕心，要做好設備已經受到全面滲透的心理準備。

因此，所有受到感染的Linux及Windows用戶都應變更密碼、密鑰并刷新令牌，避免憑證信息泄露并被攻擊者掌握。

雖然全面更換密碼與訪問令牌是一項艱巨的工作，但考慮到攻擊者可能借此奪取其他賬戶、包括在供應鏈攻擊中進一步滲透其他項目，請大家萬勿抱有僥幸心態。

參考來源：

BleepingComputer.com