{"id":27646,"date":"2021-10-28T14:09:22","date_gmt":"2021-10-28T12:09:22","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=27646"},"modified":"2021-10-28T14:09:22","modified_gmt":"2021-10-28T12:09:22","slug":"uaparser-js-infected-versions","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/uaparser-js-infected-versions\/27646\/","title":{"rendered":"Malware in weit verbreiteter JavaScript-Bibliothek UAParser.js entdeckt"},"content":{"rendered":"

Unbekannte Angreifer haben mehrere Versionen der weitverbreiteten JavaScript-Bibliothek UAParser.js kompromittiert, indem Schadcode eingeschleust wurde. Laut der Statistik auf der Website der Entwickler<\/a>, wird diese Bibliothek in vielen Projekten verwendet und verzeichnet w\u00f6chentlich von 6 bis 8 Millionen Downloads.<\/p>\n

Die Bedrohungsakteure kompromittierten drei Versionen der Bibliothek: 0.7.29, 0.8.0 und 1.0.0. Alle Benutzer und Administratoren sollten umgehend die Bibliotheken auf die neuen Versionen 0.7.30, 0.8.1 beziehungsweise 1.0.1 aktualisieren.<\/p>\n

Was ist UAParser.js und warum ist es so beliebt?<\/h2>\n

JavaScript-Entwickler verwenden die Bibliothek UAParser.js f\u00fcr das Parsen (maschinenlesbare Daten analysieren, segmentieren und codieren) der User-Agent-Daten, die von den Browsern gesendet werden. UAParser.js wird auf vielen Websites implementiert und in den Software-Entwicklungsprozessen von diversen Unternehmen verwendet, darunter Facebook, Apple, Amazon, Microsoft, Slack, IBM, HPE, Dell, Oracle und Mozilla. Dar\u00fcber hinaus verwenden manche Entwickler Drittanbieter-Tools, wie Karma-Framework f\u00fcr Code-Testing, die auch von dieser Bibliothek abh\u00e4ngen, wodurch der Reichweite des Angriffs vergr\u00f6\u00dfert wird, da dies ein weiteres Kettenglied der Lieferkette darstellt.<\/p>\n

Einschleusen von Schadcode<\/h2>\n

Die Angreifer betteten das sch\u00e4dliche Skript in die Bibliothek ein, das daraufhin Schadcode auf dem Computer des Opfers herunterl\u00e4dt und ausf\u00fchrt \u2013 sowohl auf Linux als auch auf Windows. Der Zweck einer der Module besteht darin Kryptow\u00e4hrung zu sch\u00fcrfen. Ein weiteres Modul (nur f\u00fcr Windows) ist dazu in der Lage vertrauliche Informationen zu stehlen, wie zum Beispiel Browser-Cookies, Zugangsdaten f\u00fcr das Betriebssystem und andere Passw\u00f6rter.<\/p>\n

M\u00f6glicherweise ist das aber l\u00e4ngst noch nicht alles: Laut einer Warnung<\/a> der US-amerikanischen Sicherheitsbeh\u00f6rde Cybersecurity & Infrastructure Security Agency (CISA), k\u00f6nnte die Installierung von kompromittierten Bibliotheken den Angreifern erm\u00f6glichen, die Kontrolle \u00fcber die infizierten Systeme zu \u00fcbernehmen.<\/p>\n

Nach GitHub-Benutzern<\/a>, erstellt die Malware folgende Bin\u00e4rdateien: jsextension (in Linux) und jsextension.exe (in Windows). Die Pr\u00e4senz dieser Dateien ist ein klares Anzeichen daf\u00fcr, dass das System kompromittiert wurde.<\/p>\n

Wie der Schadcode in die JavaScript-Bibliothek UAParser.js eingeschleust wurde<\/h2>\n

Faisal Salman, der Entwickler des UAParser.js-Projekts erkl\u00e4rte<\/a>, dass ein nicht identifizierter Angreifer Zugriff auf sein Konto im NPM-Repository erhalten hatte und drei sch\u00e4dliche Versionen der UAParser.js-Bibliothek ver\u00f6ffentlichte. Der Entwickler f\u00fcgte den drei kompromittierten Versionen sofort eine Warnung hinzu und kontaktierte den NPM-Support, der die gef\u00e4hrlichen Versionen schnell entfernte. Trotz des schnellen Handelns wurden in der Zeit, in der die infizierten Pakete noch online verf\u00fcgbar waren, eine betr\u00e4chtliche Anzahl heruntergeladen.<\/p>\n

Anscheinend waren die NPM-Pakete mit Schadcode am 22. Oktober ca. 4 Stunden online: Von 14:15 bis 18:23 Uhr CET. Am Nachmittag desselben Tages bemerkte der Entwickler ungew\u00f6hnliche Spam-Aktivit\u00e4ten in seinem Posteingang \u2013 die ihn vermuten lie\u00df, dass etwas nicht mit rechten Dingen zugeht \u2013 und entdeckte den Hauptgrund des Problems.<\/p>\n

Was kann ich tun, wenn ich eine infizierte Bibliothek heruntergeladen habe?<\/h2>\n

F\u00fchren Sie zuerst einen Malware-Scan auf allen betroffenen Computern durch. Alle Komponente der Malware, die f\u00fcr diesen Angriff verwendet wird, werden erfolgreich von unseren Produkten erkannt.<\/p>\n

Aktualisieren Sie danach die Bibliotheken auf die gepatchte Version: 0.7.30, 0.8.1 und 1.0.1. Diese Ma\u00dfnahmen sind allerdings unzureichend: Auf der GitHub Advisory Database<\/a> wird angegeben, dass jeder Computer, auf dem eine infizierte Version der Bibliothek installiert oder ausgef\u00fchrt wurde, als vollkommen kompromittiert betrachtet werden sollte. Aus diesem Grund wird Benutzern und Administratoren empfohlen auch alle Zugangsdaten zu \u00e4ndern, die auf diesen Computern verwendet wurden.<\/p>\n

Im Allgemeinen sind Entwicklungs- oder Build-Umgebungen beliebte Angriffsziele von Internetverbrechern, um Lieferkettenangriffe durchzuf\u00fchren. Folglich brauchen besonders solche Umgebungen einen effektiven Malware-Schutz<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Das NPM-Paket namens UAParser.js, das auf Hundertausenden Computern rund um den Globus installiert ist, wurde mit einem Passwortdieb und einem Krypto-Miner infiziert. So handeln Sie richtig.<\/p>\n","protected":false},"author":700,"featured_media":27647,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[3901,3900,938,903,2789,3902,125,33],"class_list":{"0":"post-27646","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-javascript","9":"tag-lieferkette","10":"tag-linux","11":"tag-macos","12":"tag-miner","13":"tag-passwortdiebe","14":"tag-passworter","15":"tag-windows"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/uaparser-js-infected-versions\/27646\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/uaparser-js-infected-versions\/23525\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/uaparser-js-infected-versions\/19009\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/uaparser-js-infected-versions\/25614\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/uaparser-js-infected-versions\/23678\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/uaparser-js-infected-versions\/23186\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/uaparser-js-infected-versions\/26330\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/uaparser-js-infected-versions\/25871\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/uaparser-js-infected-versions\/31787\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/uaparser-js-infected-versions\/10204\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/uaparser-js-infected-versions\/42700\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/uaparser-js-infected-versions\/17993\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/uaparser-js-infected-versions\/18359\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/uaparser-js-infected-versions\/15441\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/uaparser-js-infected-versions\/31874\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/uaparser-js-infected-versions\/27775\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/uaparser-js-infected-versions\/24517\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/uaparser-js-infected-versions\/29877\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/uaparser-js-infected-versions\/29679\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/lieferkette\/","name":"Lieferkette"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27646","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=27646"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27646\/revisions"}],"predecessor-version":[{"id":27659,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27646\/revisions\/27659"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/27647"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=27646"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=27646"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=27646"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}