hackers ciblent une bibliothèque Javascript

Un Malware découvert dans une bibliothèque JavaScript populaire

Des pirates informatiques bibliothèque ciblent une bibliothèque JavaScript populaire pour diffuser des logiciels malveillants. Ils s’en sont également servi pour installer des voleurs de mots de passe et des mineurs de cryptomonnaies sur les machines des victimes.

Une bibliothèque consultée plus de 7 millions de fois par semaine

La bibliothèque JavaScript UAParser.js est accessible plus de 7 millions de fois par semaine. Celle-ci est utilisée pour détecter les données User-Agent à faible encombrement, comme le navigateur et le système d’exploitation d’un visiteur. Facebook, Microsoft, Amazon, Reddit et bien d’autres géants de la technologie utilisent largement cette bibliothèque..

Un acteur malveillant a détourné un package. Il a publié des versions malveillantes de la bibliothèque UAParser.js pour cibler les machines Linux et Windows. Le package malveillant aurait pu permettre aux pirates d’obtenir des informations sensibles ou de prendre le contrôle de leur système s’il était téléchargé sur la machine de la victime. 

Les informations émanent d’une alerte émise par l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA). L’acteur malveillant aurait eu accès au compte du développeur et l’a utilisé pour distribuer les versions infectées. Une fois ces dernières identifiées par l’auteur du package, elles ont été supprimées de la plateforme

Mode de fonctionnement et conseils d’experts

hackers ciblent une bibliothèque Javascript

Une analyse plus approfondie par Sonatype montre que le code malveillant vérifiera le système d’exploitation utilisé sur l’appareil de la victime. Et selon le système d’exploitation utilisé, celui-ci lancera un script shell Linux ou un fichier batch Windows.

Le package initierait un script preinstall.sh pour vérifier les périphériques Linux si l’utilisateur se trouvait en Russie, en Ukraine, en Biélorussie et au Kazakhstan. Si l’appareil était situé ailleurs, le script téléchargerait un mineur de cryptomonnaie XMRig Monero. Ce dernier est conçu pour utiliser 50% de la puissance du processeur pour éviter la détection.

Pour les utilisateurs de Windows, le même mineur Monero serait installé en plus d’un cheval de Troie voleur de mots de passe. Sonatype suppose qu’il s’agit de DanaBot, un cheval de Troie bancaire utilisé par des bandes  organisées. Les experts conseillent aux utilisateurs de la bibliothèque UAParser.js de vérifier la version utilisée dans leurs projets. Il faudrait ensuite passer à la dernière version, exempte de code malveillant.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Pin It on Pinterest