攻击者接管账户,攻陷周下载量超700万次的JavaScript 流行库 ua-parser-js
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
上周末,每周下载量超过700万次的 npm 包 “ua-parser-js” 遭攻陷。从 GitHub 的讨论情况来看,攻击者似乎是通过密码泄露或暴力攻击尝试劫持了该包作者的账户,时长约4小时。
UAParser.js 简介
Npm 包的官方简介指出,“UAParser.js” 库是通过小规模的访存足迹 (源码压缩至17KB,Gzip 压缩至6KB) 从 User-Agent 数据中检测浏览器、引擎、操作系统、CPU和设备类型/型号的JavaScript 库,可用于浏览器(客户端)或node.js(服务器端)。
目前,该库用于多个企业如 Facebook、苹果、亚马逊、微软、Slack、IBM、HPE、戴尔、Oracle、Mozilla、Shopify、Reddit 等硅谷巨头。
另外,”ua-parser-js” 库也用于1000多个其它 npmjs 包中,其中一些是直接使用但很多都是间接使用,其中不乏一些流行项目如 apollographql 项目和 Facebook 公司的 docusaurus 项目等。
受影响版本
GitHub 发布安全公告指出,“ua-parser-js” 包发布的三个版本中含有恶意代码。
受影响版本是0.7.29、0.8.0和1.0.0。
用户应分别尽快更新至最新版本0.7.30、0.8.1和1.0.1。
GitHub 指出,应把安装或正在运行 “ua-parser-js” 的计算机当作已遭攻陷处理。应该从其它计算机立即修改存储在受影响计算机中的所有机密信息和密钥。虽然应该删除 “ua-parser-js”包,但鉴于其它实体已完全控制该计算机,因此,删除该npm包无法保证将删除计算机上所有因安装恶意软件而导致的所有恶意软件。
简要分析
UAParser.js库的作者 Faisal Salman 指出,“我认为有人在劫持的 npm 账户并发布了一些受陷版本,它们很可能要安装恶意软件。“之后,Salman 拉取了受陷库版本,阻止用户不慎感染,并发布了更新版本。
多数 npm 恶意包的目的是以通用方式窃取环境密钥。然而,本文提到的恶意包对 Windows 和 Linux + MacOS 的攻陷方式稍有不同。虽然两个脚本版本都下载并运行密币挖掘软件,但 Windows 版本中还包含了一个木马组件。
可以肯定的一点是,尽管多数 Windows 杀毒软件并未注意到该密币,但至少有12款杀软检测并阻止了上述木马组件。
在 Linux 和 macOS 的案例中,虽然目前无法确定密币挖掘工具中是否存在木马,但从经验来看应该不存在。
从 GitHub 用户对该恶意代码的分析来看,其它脚本将从远程服务器下载并执行二进制。这些二进制是为 Linux 和 Windows 平台提供的。一名GitHub 用户指出,“从命令行参数来看,其中一个可能是密币挖矿机,不过这也可能只是个幌子。“
在 Windows 系统上,这些脚本也将下载并执行信息窃取木马(很可能是 Danabot 恶意软件版本)。另外一名 GitHub 用户指出,木马中包含可导出浏览器 cookie、浏览器密码和操作系统凭据的功能。
CISA 发出安全警报
鉴于 UAParser.js的下载量如此之多,很多大企业都在使用,因此美国网络安全和基础设施安全局 (CISA) 在事件发生当天就紧急发布安全警报,督促开发人员更新至安全版本。
如何防范开源供应链攻击
奇安信代码安全实验室认为,结合本案例,应采取如下措施阻止此类供应链攻击:
1、npm包维护人员启用双因素认证
2、切勿在多个网站复用相同密码
3、通过奇安信开源卫士保护软件供应链安全
4、使用奇安信开源卫士等工具自动化管理依赖关系
推荐阅读
GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司
开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等
原文链接
https://www.whitesourcesoftware.com/resources/blog/popular-javascript-library-ua-parser-js-compromised-via-account-takeover/
https://github.com/advisories/GHSA-pjwm-rvh2-c87w
https://therecord.media/malware-found-in-npm-package-with-millions-of-weekly-downloads/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
攻击者接管账户,攻陷周下载量超700万次的JavaScript 流行库 ua-parser-js相关推荐
- PyPI 管理员删除已潜伏10个月且下载量超1万次的恶意包
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 PyPI 删除了部署恶意软件并窃取数据的三个软件包,它们的总下载量超过1万次.这三个恶意包通过typosquat合法包的名称诱骗用户. 01 & ...
- 周下载量过200万的npm包被注入恶意代码,Vue、Node项目恐受影响
今天上午,小编在Twitter上刷出了这条推文,再翻看国内一些论坛,开发者已经有所讨论,小编在这里给大家整理一下. 这篇推文及其附带的GitHub链接大体是说上周npm下载量超过200万的packag ...
- 下载量超1600万的热门开源 JavaScript 序列化包中被曝 RCE 漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 最近,热门的开源NPM 包 serialize-javascript 中被指存在一个漏洞,可使攻击者执行远程代码. Serialize ...
- 下载量超 20 亿的 8 款 Android 应用涉广告欺诈,谁在“猎杀”猎豹移动?
作为中国移动互联网公司出海领军者猎豹移动,于近日,被国外应用分析.归属公司 Kochava 发文直指涉嫌背着用户搞广告欺诈,涉及下载量超过 20 亿的 8 款流行 Android 应用,其中 7 款应 ...
- 下载量高达163万的易语言牛人写的一个超牛的软件(即将删除)
引自易语言论坛"毁人不倦"贴子(http://bbs.eyuyan.com/dispbbs.asp?boardid=124&id=180180): 在华军上突然发现一个下载 ...
- 互联网晚报 | 12月6日 星期一 | 荣耀线下门店超3万家;鸿蒙系统明年正式登陆欧洲;凯撒旅业与众信旅游终止合并...
今日看点 ✦ 华为:鸿蒙Harmony OS系统明年将正式登陆欧洲 ✦ 荣耀线下门店超3万家,线下销售占比超过70% ✦ 阿里达摩院成功研发存算一体AI芯片,突破冯·诺依曼架构性能瓶颈 ✦ 360:将 ...
- 购物兔下载量突破17万!
时间过得很快,都没有时间写日志了~ 2011-8-8号,购物兔下载量突破17万了,感谢大家的共同努力! 补回一贴以记之~ http://www.gouwutu.com
- 抖音下载量超 Facebook;华为新款手机陷“绿屏”门;苹果又遭起诉 | 极客头条...
「CSDN 极客头条」,是从 CSDN 网站延伸至官方微信公众号的特别栏目,专注于一天业界事报道.风里雨里,我们将每天为朋友们,播报最新鲜有料的新闻资讯,让所有技术人,时刻紧跟业界潮流. 快讯速知 抖 ...
- Airbnb背后周下载量数百万的Eslint-Airbnb
背景: 好久没有写文章,今天看到一个比较劲爆的消息.Airbnb退出中国市场,我第一时间想到,有时间写下就下了这篇文章 Airbnb的发展介绍 Airbnb是AirBed and Breakfast( ...
最新文章
- Adobe Creative Suite CS4/CS5 全系列注册机
- margin折叠问题
- 计算机义务维修队,我院捷诚义务维修服务队电脑维修服务活动
- Python3.7.5安装(Windows10附pip更换下载源)
- DB天气app冲刺第四天
- platform 设备驱动实验
- Java内存模型又回来了
- 企业级WEB的负载均衡高可用之LVS+Keepalived(3)
- 中国内置自动咖啡机行业市场供需与战略研究报告
- 最佳深度学习书单(从零到深度学习工程师)
- mac下载安装adb环境
- 基于iTextSharp(C#)创建PDF文件
- Python字符串函数使用详解
- 沈小滨 项目管理中的领导力
- gitbook:node_modules\npm\node_modules\graceful-fs\polyfills.js:287
- 数字疗法001 | 心理疾病太痛苦。把你的心理健康交给昭阳医生吧
- 【操作系统】概念、功能、特征、分类、运行机制、内核、体系结构、中断和异常、系统调用简介
- [转]微信小程序之购物车 —— 微信小程序实战商城系列(5)
- 教你如何查看自己电脑开关机记录
- python获取cpu温度_Python如何读取CPU和GPU的温度?