Malware trouvé dans la bibliothèque UA-Parser-JS NPM

Package populaire compromis d'une manière qui pourrait permettre à un attaquant d'installer des chevaux de Troie voleurs de mots de passe et des mineurs de crypto.

Le 23 octobre, BleepingComputer a signalé que des pirates avaient détourné la bibliothèque UA-Parser-JS Node Package Manager (NPM) pour infecter Appareils Linux et Windows avec chevaux de Troie voleurs de mots de passe et mineurs de crypto. Bien que les produits Progress n'aient pas été directement compromis, par prudence, nous pensons qu'il est important d'informer notre communauté de développeurs de cette nouvelle et de la façon de la rectifier.

Que s'est-il passé ?

Le vendredi 22 octobre, un inconnu acteur a publié des versions malveillantes de la bibliothèque UA-Parser-JS NPM. Les cibles ultimes étaient essentiellement tout produit qui stocke les mots de passe localement. Les versions malveillantes du package étaient disponibles pendant environ quatre heures, de 12 h 15 à 16 h 23 environ. GMT.

Si vous utilisez directement ou indirectement les versions 0.7.29, 0.8.0 et 1.0.0 de ua-parser-js, vous devez considérer que votre système est compromis. Ces versions n'ont pas été publiées à partir de npmjs plusieurs heures après que l'exploit a été détecté par le propriétaire du package.

Comment savoir si cela m'affecte ?

Vous pouvez être affecté si vous utilisez le NPM pour gérer et télécharger des bibliothèques open source dans le cadre de vos processus d'ingénierie. Les cibles les plus probables sont les environnements de développement et CI/CD. Tout ordinateur sur lequel l'une des versions malveillantes de ce package est installée ou en cours d'exécution doit être considéré comme compromis.

Que dois-je faire ?

• S'assurer que le logiciel antivirus sur toutes les machines de développement et d'assurance qualité est à jour et qu'il effectue une surveillance active
• Tous les secrets et clés stockés sur un ordinateur compromis doivent être modifiés immédiatement
• Supprimer toutes les machines concernées et mettre à jour les mots de passe
• Pour vous protéger d'une attaque similaire à la chaîne d'approvisionnement, comme celle du 22 octobre, utilisez des fichiers de verrouillage pour vos dépendances, ce qui vous permet de contrôler toutes les mises à jour
• Mettre à jour les versions corrigées respectives : 0.7.30, 0.8.1, 1.0.1

Les produits Progress sont-ils concernés ?

Les produits Progress n'ont pas été directement compromis par cet incident. Nous utilisons des pratiques pour minimiser les vulnérabilités tout au long de notre cycle de développement et travaillons en permanence pour renforcer nos produits et notre infrastructure.

Le code malveillant ciblait spécialement les fichiers de mots de passe des clients FTP courants, y compris Progress WS_FTP Professional. Les fichiers de mots de passe stockés localement pour de nombreuses autres applications courantes ont également été ciblés, notamment Chrome, Firefox et Safari, entre autres. être affecté. Si vous utilisez la fonctionnalité Kinvey Flex, veuillez examiner vos projets déployés pour vous assurer qu'ils et leurs dépendances n'utilisent pas l'une des versions compromises du module ua-parser-js.

Même si un service Flex a été affecté, il est impossible pour le code nuisible d'échapper à son environnement isolé et de nuire ou d'accéder à quoi que ce soit d'autre, même sur des instances Kinvey multi-locataires.

Informations et ressources supplémentaires