La bibliothèque UA-Parser-JS infectée par un cryptomineur et un voleur de mot de passe

La bibliothèque UA-Parser-JS infectée par un cryptomineur et un voleur de mot de passe

Par Sébastien Gavois

Le 25 Octobre 2021 à 08h12
Logiciel
2 min 11

La bibliothèque UA-Parser-JS infectée par un cryptomineur et un voleur de mot de passe

La Cybersecurity & Infrastructure Security Agency (CISA) explique qu'un attaquant pourrait ainsi obtenir des informations sensibles ou prendre le contrôle du système à distance. La CISA « exhorte les utilisateurs et les administrateurs utilisant les versions compromises de ua-parser-js 0.7.29, 0.8.0 et 1.0.0 de se mettre à jour avec les versions corrigées respectives : 0.7.30, 0.8.1, 1.0.1 ».

Sur Github, le développeur de cette bibliothèque (faisalman) donne quelques explications : « Je pense que quelqu'un a piraté mon compte npm et a publié des packages compromis. [...] J'ai envoyé un message au support de NPM car je n'arrive pas à dépublier les versions compromises (peut-être en raison de la politique npm) donc je ne peux que les déprécier avec un message d'avertissement ».

Bleeping Computer propose une analyse détaillée du fonctionnement des logiciels malveillants. Une histoire de plus qui montre que l'open source n'est pas synonyme de sécurité absolue et nécessite que l'on surveille de près les projets pour éviter qu'ils ne soient détournés.

Commentaires (11)


Boris Vassilieff
Le 25/10/2021 à 08h28

On voit que les pirates ont vite corrigé le tir et ne se contentent plus de vérifier si un clavier russe est installé, ils font une recherche geoip


NiCr Abonné
Le 25/10/2021 à 10h34

(reply:1909636:Boris Vassilieff)




Il va falloir installer un clavier russe ET passer par un VPN qui sort avec une IP russe. Ça commence à faire beaucoup !


Winderly Abonné
Le 25/10/2021 à 11h04

Cette faille affecte qui ?


XXC Abonné
Le 25/10/2021 à 11h28

Dans l’analyse detaillé :




the library is used in over a thousand other projects, including those by Facebook, Microsoft, Amazon, Instagram, Google, Slack, Mozilla, Discord, Elastic, Intuit, Reddit ….



127.0.0.1
Le 25/10/2021 à 11h34

Ah la la… Mais comment c’est possible que ca arrive alors que le projet est open-source et que tout le monde peut lire le code !??



:troll:


Firefly' Abonné
Le 25/10/2021 à 11h41

C’est pour ça que ça as été detecté tout de suite :l


127.0.0.1
Le 25/10/2021 à 12h00

(reply:1909694:Firefly’)
.




Ca n’a pas été détecté en lisant le code source sur github, car ce code est 100% clean.
Le malware est dans le package - dans le script d’installation pour être exact.



Ca pose donc le problème de la confiance dans la chaine de traitement upstream/downstream.
Et celle là, comment on fait pour l’auditer ?


wanou Abonné
Le 25/10/2021 à 14h10

Difficile de savoir si on s’en sert au final vu que c’est embarqué dans des projets et rarement installé directement par les utilisateurs finaux.


ToMMyBoaY Abonné
Le 25/10/2021 à 14h19


Ah la la… Mais comment c’est possible que ca arrive alors que le projet est open-source et que tout le monde peut lire le code !??



:troll:




Comme chacun se dit que les autres lisent le code, on se dit qu’on n’a pas besoin de le lire soi-même… Oh wait ! :D


TexMex
Le 25/10/2021 à 16h51

Haaaa… NPM y’a suffisamment de matière pour en parler à ses petits enfants …
“Tu vois petit; à mon époque…”


spidermoon
Le 25/10/2021 à 23h10

Même si vous n’utilisez pas cette bibliothèque, elle est incluse dans des dizaines de projets.
Heureusement, le développeur a rapidement réagi et les bibliothèques concernés ont été supprimées de NPM et les versions de paquet mises à jour pour éviter celles contaminées, enfin, d’après ce que je comprends.


Fermer