Connexion
Abonnez-vous

La bibliothèque UA-Parser-JS infectée par un cryptomineur et un voleur de mot de passe

La bibliothèque UA-Parser-JS infectée par un cryptomineur et un voleur de mot de passe

Le 25 octobre 2021 à 08h12

La Cybersecurity & Infrastructure Security Agency (CISA) explique qu'un attaquant pourrait ainsi obtenir des informations sensibles ou prendre le contrôle du système à distance. La CISA « exhorte les utilisateurs et les administrateurs utilisant les versions compromises de ua-parser-js 0.7.29, 0.8.0 et 1.0.0 de se mettre à jour avec les versions corrigées respectives : 0.7.30, 0.8.1, 1.0.1 ».

Sur Github, le développeur de cette bibliothèque (faisalman) donne quelques explications : « Je pense que quelqu'un a piraté mon compte npm et a publié des packages compromis. [...] J'ai envoyé un message au support de NPM car je n'arrive pas à dépublier les versions compromises (peut-être en raison de la politique npm) donc je ne peux que les déprécier avec un message d'avertissement ».

Bleeping Computer propose une analyse détaillée du fonctionnement des logiciels malveillants. Une histoire de plus qui montre que l'open source n'est pas synonyme de sécurité absolue et nécessite que l'on surveille de près les projets pour éviter qu'ils ne soient détournés.

Le 25 octobre 2021 à 08h12

Commentaires (11)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

On voit que les pirates ont vite corrigé le tir et ne se contentent plus de vérifier si un clavier russe est installé, ils font une recherche geoip

votre avatar

(reply:1909636:Boris Vassilieff)


Il va falloir installer un clavier russe ET passer par un VPN qui sort avec une IP russe. Ça commence à faire beaucoup !

votre avatar

Cette faille affecte qui ?

votre avatar

Dans l’analyse detaillé :




the library is used in over a thousand other projects, including those by Facebook, Microsoft, Amazon, Instagram, Google, Slack, Mozilla, Discord, Elastic, Intuit, Reddit ….


votre avatar

Ah la la… Mais comment c’est possible que ca arrive alors que le projet est open-source et que tout le monde peut lire le code !??



:troll:

votre avatar

C’est pour ça que ça as été detecté tout de suite :l

votre avatar

(reply:1909694:Firefly’)
.


Ca n’a pas été détecté en lisant le code source sur github, car ce code est 100% clean.
Le malware est dans le package - dans le script d’installation pour être exact.



Ca pose donc le problème de la confiance dans la chaine de traitement upstream/downstream.
Et celle là, comment on fait pour l’auditer ?

votre avatar

Difficile de savoir si on s’en sert au final vu que c’est embarqué dans des projets et rarement installé directement par les utilisateurs finaux.

votre avatar


Ah la la… Mais comment c’est possible que ca arrive alors que le projet est open-source et que tout le monde peut lire le code !??



:troll:


Comme chacun se dit que les autres lisent le code, on se dit qu’on n’a pas besoin de le lire soi-même… Oh wait ! :D

votre avatar

Haaaa… NPM y’a suffisamment de matière pour en parler à ses petits enfants …
“Tu vois petit; à mon époque…”

votre avatar

Même si vous n’utilisez pas cette bibliothèque, elle est incluse dans des dizaines de projets.
Heureusement, le développeur a rapidement réagi et les bibliothèques concernés ont été supprimées de NPM et les versions de paquet mises à jour pour éviter celles contaminées, enfin, d’après ce que je comprends.

La bibliothèque UA-Parser-JS infectée par un cryptomineur et un voleur de mot de passe

Fermer