GitHub è uno dei servizi più utilizzati al mondo per la condivisione del codice sorgente dei software. Qualcuno ha sfruttato la sua popolarità per distribuire malware attraverso il pacchetto npm della libreria JavaScript UAParser.js. In tre versioni sono stati scoperti un password stealer e un criptominer. Lo sviluppatore ha prontamente rilasciato gli aggiornamenti, eliminando quelli infetti.
Malware in UAParser.js
UAParser.js è una delle librerie JavaScript più popolari in assoluto con milioni di download (oltre 24 milioni ad ottobre). La libreria consente di leggere le informazioni memorizzate negli “user agent” dei browser, tra cui tipo di browser, sistema operativo, CPU e modello di dispositivo. Viene utilizzata anche da note aziende, come Apple, Microsoft, Amazon, Facebook, Mozilla, IBM e Oracle.
L’autore della libreria, Faisal Salman, ha dichiarato che qualcuno è entrato nel suo account npm e pubblicato le versioni 0.7.29, 0.8.0 e 1.0.0 di UAParser.js contenenti i due malware. Su Linux viene scaricato il miner XMRig per Monero, mentre su Windows viene scaricato anche DanaBot, un trojan che tenta di rubare tutte le password, incluse quelle del sistema operativo.
Considerata la popolarità della libreria e l’uso da parte di molte Big Tech, la CISA (Cybersecurity and Infrastructure Security Agency) ha pubblicato un avviso di sicurezza, consigliando di installare le versioni aggiornate 0.70.30, 0.8.1 e 1.0.1 nel minor tempo possibile.
Gli utenti che hanno usato le versioni infette della libreria devono immediatamente cercare e cancellare il file jsextension su Linux e i file jsextension.exe e create.dll su Windows.
Ti potrebbe interessare
25 ott 2021