ملخص تنفيذي

• في يوم الجمعة 22 أكتوبر 2021، اختطف المهاجمون حساب NPM لمطور UAParser.js.
• UaParser.js هي مكتبة تستخدمها تطبيقات الويب لاكتشاف معلومات حول أنواع مستعرضات المستخدمين وأنظمة التشغيل.
• أساء المهاجمون استخدام هذه المكتبة لتوزيع برامج ضارة لتعدين العملات المشفرة وسرقة كلمات المرور على أنظمة تشغيل Windows و Linux.
• وفقًا لموقع المطور، يتم استخدام هذه الوحدة من قبل العديد من الشركات الكبرى بما في ذلك Facebook و Apple و Amazon و Microsoft و Slack و IBM و HPE و Dell و Oracle و Mozilla و Shopify و Reddit.

معلومات من التحليل الفني

العملية

• قام مهاجم باختطاف واستغلال حساب NPM لمطور UAParser.js، فيصل سلمان.
• استغل المهاجم هذا الوصول لتغيير حزمة نشر المكتبة عن طريق إضافة تعليمات لتشغيل برنامج نصي جديد يسمى preinstall.js. كما تم تضمين البرامج النصية لنظامي التشغيل Windows وLinux التي يتم تشغيلها بواسطة حزمة node.js، مثل preinstall.bat وpreinstall.sh، في هذه الحزمة.
• ثم أصدر الخاطف 3 إصدارات جديدة مع البرامج النصية الضارة:
  • 0.7.29
  • 0.8.0
  • 1.0.0
• عندما يتم تثبيت الحزم المخترقة على جهاز المستخدم، يقوم البرنامج النصي بفحص نظام التشغيل ويقوم بتشغيل shell script preinstall.sh.
• في لينكس، يقوم البرنامج النصي preinstall.js بفحص نظام التشغيل.
• في نظام التشغيل Windows، يقوم ملف دفعي (preinstall.bat) بفحص نظام التشغيل.

بيان المطور

• قال مطور UAParser.js فيصل سلمان: «لاحظت شيئًا غير عادي عندما غمر بريدي الإلكتروني فجأة رسائل غير مرغوب فيها من مئات المواقع (ربما لذلك لا أدرك أن شيئًا ما قد حدث، لحسن الحظ كان التأثير عكس ذلك تمامًا). أعتقد أن شخصًا ما كان يختطف حساب npm الخاص بي ونشر بعض الحزم المخترقة (0.7.29، 0.8.0، 1.0.0)» في تقرير الخطأ الخاص به.

  وصف تفصيلي

  • Linux: إذا كانت الحزمة على جهاز Linux، فسيتم تنفيذ برنامج نصي preinstall.sh للتحقق مما إذا كان المستخدم موجودًا في روسيا أو أوكرانيا أو بيلاروسيا أو كازاخستان. إذا لم يكن الجهاز موجودًا في تلك البلدان، فسيقوم البرنامج النصي بتنزيل برنامج jsextension من 159.148.186.228 (الموجود في لاتفيا وأوروبا) وتنفيذه. برنامج jsextension هو منجم XMrig مونيرو، والتي ستستخدم 50٪ فقط من وحدة المعالجة المركزية للجهاز لتجنب اكتشافها بسهولة. تم وضع علامة على هذا البرنامج أيضًا على أنه ضار على فيروس توتال.
  • نظام التشغيل Windows: على نظام التشغيل Windows، سيتم تنزيل أداة تعدين العملات المشفرة XMrig Monero وحفظها باسم jsextension.exe (فيروس توتال) بواسطة الملف الدفعي (preinstall.bat)، ويتم تنفيذه. سيقوم الملف الدفعي أيضًا بتنزيل ملف sdd.dll من citationsherbe.at (مقره في روسيا) وحفظه باسم create.dll. ملف DLL الذي تم تنزيله هو حصان طروادة لسرقة كلمات المرور يسرق كلمات المرور المخزنة على الجهاز. تم تشغيل العديد من البائعين فيروس توتال ضع علامة على DLL باسم «DanaBot»؛ عائلة كبيرة من أحصنة طروادة المصرفية التي تستهدف أنظمة Windows بهدف سرقة بيانات اعتماد المستخدم المخزنة على الأجهزة. عند تحميل DLL، سيحاول سرقة كلمات المرور لمجموعة من البرامج، بما في ذلك عملاء FTP و VNC وبرامج المراسلة وعملاء البريد الإلكتروني والمتصفحات.

  قائمة البرامج المستهدفة من قبل Stealer

  WinVNC فيرفكس التحكم في بروتوكول نقل الملفات شاشة التوقف 9x آبل سفاري نت درايف جهاز التحكم عن بعد للكمبيوتر اتصال سطح المكتب البعيد بيكي حساب ASP.NET عميل VPN من سيسكو الخفاش! مكالمة مجانية احصل على الحق نظرة مستقبلية سيبريس أوفيس فلاشجيت/جيت كار يودورا كام فروغ مدير FAR FTP منبه جيميل ذاكرة التخزين المؤقت لـ Win9x ويندوز/توتال كوماندر وكيل Mail.Ru آي سي كيو 2003/لايت WS_FTP إنكريديميل «&RQ، R&Q» بروتوكول FTP لطيف بريد جماعي مجاني ياهو! رسول فلاش إف إكس بي بريد بوكو ديجسبي فايل زيلا وكيل فورتي أوديجو قائد بروتوكول نقل الملفات ناسخ آي إم 2/ماسنجر 2 عميل FTP المضاد للرصاص بوب بيبر جوجل توك بروتوكول نقل الملفات الذكي قائد البريد فايم بروتوكول نقل الملفات التوربيني بريد ويندوز لايف ماي سبيس إيم <FFFTP موزيلا ثندربيرد إم إس إن ماسنجر كوفي كوب FTP قرد البحر ويندوز لايف ماسنجر بروتوكول نقل الملفات الأساسي قطيع بالتالك مستكشف FTP تنزيل برنامج الماجستير برنامج المراسلة الخاص المثير فرقاطة 3 FTP مسرّع تنزيل الإنترنت مشروع جيزمو سيكيور إف إكس IEWebcert إيه آي إم برو ألترا إف إكس بي الإكمال التلقائي لـ IEPWS بانديون تي بي آر راش حسابات VPN تريليان أسترا ناشر الموقع ميراندا 888 لعبة البوكر بيتكينيكس غايم لعبة البوكر ذات الميل الكامل اكسباند درايف بجين بوكر ستارز بروتوكول نقل الملفات الكلاسيكي QIP. على الإنترنت تيتانيوم بوكر قذف JAJC لعبة البوكر للحفلات عميل سوفت إكس إف تي بي ويب كريد كيك بوكر التأليف في الدليل بيانات اعتماد نظام التشغيل Windows يو بي بوكر رافع بروتوكول نقل الملفات برنامج موكساسوفت دايلر نوع المسجل بروتوكول FTP مجاني/بروتوكول نقل مباشر برنامج الاتصال المرن والسوفت كلمات مرور RAS ليب بروتوكول نقل الملفات ديالر كوين إنترنيت إكسبلورر وين إس سي بي برنامج vDialer كروم بروتوكول نقل الملفات 32 بت برنامج الاتصال المتقدم أوبرا ويب درايف نظام التشغيل Windows RAS لا يقوم سارق كلمات المرور بسرقة كلمات المرور من البرامج المذكورة أعلاه فحسب، بل يقوم أيضًا بتشغيل برنامج PowerShell النصي الذي يسرق كلمات المرور من مدير بيانات اعتماد Windows. يسلط هذا الاختراق الضوء على المخاطر غير المعروفة سابقًا للتسمم بالمستودعات مفتوحة المصدر. في أكتوبر، كانت هناك ثلاثة الهجمات الأخرى المستندة إلى NPM، حاولت جميعها تثبيت عمال المناجم باستخدام مكتبات JavaScript المزيفة التي ادعت أنها تتمتع بنفس الوظائف مثل تلك التي تم الاستيلاء عليها.

  التأثير والتخفيف

  التأثير التخفيف
  • إذا كنت تقوم بتشغيل أي من الإصدارات الضارة، فقد يكون لدى المهاجمين بيانات اعتماد من خدمات متعددة كما هو مذكور أعلاه.
  • بمجرد حصول المهاجمين على بيانات الاعتماد الخاصة بك، قد يسيئون استخدامها لتنفيذ أنشطة متعلقة بالتجسس أو إلحاق الضرر بمشاريع أو ملفات أخرى مرتبطة بالحساب المخترق.
  • يمكن للمهاجمين أيضًا استخدام موارد نظامك لتعدين العملة المشفرة مما قد يؤدي إلى انخفاض كبير في أداء النظام.
  • نوصي بتشغيل الأوامر أدناه على Linux لمعرفة ما إذا كنت تستخدم إصدارًا ضارًا. يمكن للمستخدمين أيضًا التحقق من وجود «jsextension» وحذفه فورًا إذا تم العثور عليه. ابحث عن /- اسم «package-lock.json» -exec grep --color -ehni «ua-parser-js- (0.7.29|0.8.0|1.0.0)» {}\; 2>/dev/null
  • افحص أجهزة Windows بحثًا عن ملف create.dll وقم بحذفه على الفور. إذا تم العثور عليه، فمن الأفضل افتراض أن النظام قد تعرض للاختراق.
  • يجب على مستخدمي Windows أيضًا التحقق من ملف package.json لمعرفة الإصدار الذي يقومون بتشغيله واتخاذ الإجراءات المناسبة.
  • يمكن للمستخدمين أيضًا التحقق من حركة مرور الشبكة الخاصة بهم للنطاقات المرتبطة بتطبيقات تعدين العملات. راجع الرابط التالي للعثور على قائمة بتطبيقات تعدين العملات: https://www.nextron-systems.com/2021/10/24/monero-mining-pool-fqdns/
  • قم بتدوير بيانات الاعتماد ورموز الوصول لجميع الخدمات، للحد من المزيد من اختراق الحسابات.
  • قم بالترقية إلى الإصدارات المصححة:
    • 0.7.30
    • 0.8.1
    • 1.0.1

  بروتوكولات HTTP وICOs

  نوع المؤشر البيانات ملاحظات شا256 30 ee628504 faea 18 ديسيبل 99602971aafbc05a0b05dc964797 edf 49633 قدم 67cd178e2 حزمة محلل NPM UA-parser، تحتوي على UAParser.js 0.7.28 الشرعي وثلاثة ملفات حمولة ضارة شا256 e6cba23d350cb1f049266 ddf10f872216 f193 c5279017408b869539 df2e73c83 برنامج نصي لتثبيت JS ضار، تم اكتشافه على أنه JS/bandode-A شا256 f4c800066 e56 dd32d20299 c451 fe6a2b60a3563 f7f1915f8 ca8d9916d810b5c ملف.BAT ضار (BAT/العقدة الفرعية A) شا256 21e68b048024ba0cc5a94ec3a78c626ec7d5d705829a82e4715131 d0509 البرنامج النصي الضار لنظام التشغيل Linux (SH/bandode-A) شا256 7f986 cd3c946 f274cd73f80b84855a77b2a3c765 d68897 fbc42835629a5d5 برنامج XMrig Miner (PUA) لنظام التشغيل Windows شا256 2a3acdd765762b18c6c64c64c644a745125f55 ce121 f742 d2aad962521 bc7 f25 fd ملف DLL ضار يحمل برنامج DanaBot (mal/encpk-AQC) شا256 ea131 cc5ccf6a6544d6cb29cb78130 feed061 d2097 c6903215 be1499464 c2e لينكس إكس إم ريج مينر شا256 bb8ccdcf17761f1e86d8ebc1a123929c48c5ee4739b7619 b53728d412b إصدار جديد من حزمة DLL الضارة اسم الملف preinstall.js برنامج نصي لتثبيت JS ضار، تم اكتشافه على أنه JS/bandode-A اسم الملف preinstall.bat ملف.BAT ضار (BAT/العقدة الفرعية A) اسم الملف preinstall.sh البرنامج النصي الضار لنظام التشغيل Linux (SH/bandode-A) اسم الملف create.dll نسخة من باكر sdd.dll رابط https://citationsherbe.at/sdd.dll عنوان URL لتنزيل ملفات DLL الضارة رابط http://159.148.186.228/download/jsextension رابط تنزيل برنامج لينوكس XMrig Miner رابط http://159.148.186.228/download/jsextension.exe رابط تنزيل برنامج ويندوز XMrig Miner عنوان IP 194.76.225.46 C2 للذكور/ENCPK-AQC عنوان IP 185.158.250. 216:443 C2 للبرامج الضارة لسرقة بيانات الاعتماد عنوان IP 45.11.180. 153:443 C2 للبرامج الضارة لسرقة بيانات الاعتماد عنوان IP 194.76.225. 61:443 C2 للبرامج الضارة لسرقة بيانات الاعتماد