Malware encontrado em popular módulo de NPM
Um popular módulo de javascript (npm) foi recentemente alvo de um ataque, onde a versão distribuída do mesmo teria sido modificada com código malicioso, focado em instalar mineradores de criptomoedas nos sistemas das vitimas.
O ataque terá afetado o módulo “UAParser.js”, bastante popular para a leitura de informações dentro de conteúdos do user agent dos navegadores. Este pacote conta com mais de 6 milhões de downloads semanais, sendo usado por entidades como o Facebook, Amazon, Apple, Microsoft, IBM, Oracle, Reddit, Mozilla, entre outras empresas.
Segundo Faisal Salman, criador do módulo, o mesmo acredita que a sua conta terá sido comprometida no passado dia 22 de Outubro (ou possivelmente antes), sendo que os atacantes publicaram versões maliciosas do módulo (0.7.29, 0.8.0, 1.0.0). Poucas horas depois de a substituição dos conteúdos ter sido detetada, o autor terá modificado as versões por outras seguras.
A análise das versões modificadas indica que as mesmas continham scripts focados em descarregar malware para o sistema das vítimas, em ambientes Linux e Windows. Acredita-se que o malware em questão seria versões de mineradores de criptomoedas, embora possa ser modificado para qualquer outro género de malware.
Tendo em conta o vasto uso deste modulo e o potencial para afetar empresas de grande renome, os programadores são aconselhados a verificarem os seus ambientes para identificar possíveis usos das versões comprometidas.