О парсинге и стилерах паролей
В конце октября вышло предупреждение о компрометации библиотеки UAParser.js. Дословно с https://github.com/advisories/GHSA-pjwm-rvh2-c87w (перевод Google):
Встроенное вредоносное ПО в ua-parser-js.
Критическая степень опасности. Опубликовано 22 Oct.
Для пакета npm ua-parser-js было опубликовано три версии с вредоносным кодом. В несколько ее версий был внедрен вредоносный код, предназначенный для майнинга криптовалюты и похищения паролей. Пользователи уязвимых версий (0.7.29, 0.8.0, 1.0.0) должны как можно скорее выполнить обновление и проверить свои системы на подозрительную активность. Любой компьютер, на котором установлен или запущен этот пакет, следует считать полностью взломанным. Все секреты и ключи, хранящиеся на этом компьютере, должны быть немедленно удалены с другого компьютера. Пакет должен быть удален, но, поскольку полный контроль над компьютером мог быть передан стороннему лицу, нет никакой гарантии, что удаление пакета приведет к удалению всего вредоносного программного обеспечения, возникшего в результате его установки.
Взломали малоизвестную программную библиотеку. Вроде бы, что тут особенного и значимого?!
Но есть несколько существенных «но»:
Во- первых, “to parse” в переводе делать грамматический разбор, а парсер – это программа которая сканирует данные и выбирает из них нужные элементы. Парсеры применяются повсеместно. Например, вводя запрос в поисковую строку браузера, вы запускаете встроенный в него парсер. Скомпрометированная библиотека UAParser.js служит для разбора строк, отправляемых браузером. Она может использоваться как в браузере на стороне клиента, так и на стороне сервера. Библиотека очень популярна. Только за последнюю неделю ее скачали более 8 миллионов раз (https://www.npmjs.com/package/ua-parser-js ). Сколько раз скачали скомпрометированные версии не известно.
Во-вторых, эта библиотека используется многими веб-сайтами и при разработке программного обеспечения компаниями Facebook, Apple, Amazon, Microsoft, Slack, IBM, HPE, Dell, Oracle, Mozilla и многими другими. Это еще больше увеличивает масштабы атаки.
В-третьих, вредоносный код, встроенный в скомпрометированную библиотеку, критически опасен. Он может быть использован для похищения паролей, учетных данных (в среде Windows), а также скрытного майнинга криптовалюты на компьютерах-жертвах (в среде Linux и Windows). Явным признаком компрометации системы служит наличие исполняемых файлов jsextension (в Linux) и jsextension.exe (в Windows).
Подробнее о компрометации библиотеки UAParser.js можно прочитать здесь: https://www.kaspersky.ru/blog/uaparser-js-infected-versions/31787/.
Мы почти уверены, что подавляющее большинство наших читателей даже не задумываются о том, как устроены программы на их телефонах или ноутбуках. И скорее всего, вероятность загрузки ими зараженной библиотекой невелика. Тем не менее, это новость в очередной раз напомнила о том, что необходимость повседневно использовать сложное многокомпонентное программное обеспечение, созданное разными разработчиками и подверженное угрозам заражения, несет за собой определенные риски. Ведь мы каждый день доверяем этому ПО свои финансы и личные данные. Помните об этом, и соблюдайте базовые правила кибергигиены: своевременно обновляйте мобильные приложения и другие программы, поддерживайте актуальность антивирусов и периодически проверяйте свои устройства на отсутствие вирусов и другого вредоносного ПО.
А тем же, кто использует библиотеку UAParser.js, следует обновить ее до безопасной версии и сменить учетные данные на своих компьютерах.
Берегите себя, соблюдайте правила цифровой гигиены!