{"id":18359,"date":"2021-10-28T08:30:21","date_gmt":"2021-10-28T11:30:21","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=18359"},"modified":"2021-10-28T08:44:05","modified_gmt":"2021-10-28T11:44:05","slug":"uaparser-js-infected-versions","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/uaparser-js-infected-versions\/18359\/","title":{"rendered":"JavaScript UAParser.js infectado por malware"},"content":{"rendered":"<p>Cibercriminosos desconhecidos comprometeram v\u00e1rias vers\u00f5es de uma biblioteca JavaScript popular, UAParser.js, injetando c\u00f3digo malicioso. De acordo com<a href=\"https:\/\/www.npmjs.com\/package\/ua-parser-js\" target=\"_blank\" rel=\"noopener nofollow\"> estat\u00edsticas na p\u00e1gina dos desenvolvedores<\/a>, muitos projetos usam a biblioteca, que \u00e9 baixada de 6 a 8 milh\u00f5es de vezes por semana.<\/p>\n<p>Os malfeitores comprometeram tr\u00eas vers\u00f5es da biblioteca: 0.7.29, 0.8.0 e 1.0.0. Todos os usu\u00e1rios e administradores devem atualizar a para as vers\u00f5es 0.7.30, 0.8.1 e 1.0.1, respectivamente, o mais r\u00e1pido poss\u00edvel.<\/p>\n<h2>O que \u00e9 UAParser.js e o motivo de sua popularidade<\/h2>\n<p>Os desenvolvedores de JavaScript usam a biblioteca UAParser.js para analisar os dados User-Agent enviados pelos navegadores. Ele \u00e9 implementado em muitos sites e usado no processo de desenvolvimento de software de v\u00e1rias empresas, incluindo Facebook, Apple, Amazon, Microsoft, Slack, IBM, HPE, Dell, Oracle, Mozilla e muito mais. Al\u00e9m disso, alguns desenvolvedores de software usam aplica\u00e7\u00f5es de terceiros, como o framework Karma para teste de c\u00f3digo, que tamb\u00e9m depende dessa biblioteca, aumentando ainda mais a escala do ataque ao adicionar um link adicional \u00e0 cadeia de suprimentos.<\/p>\n<h2>A introdu\u00e7\u00e3o do c\u00f3digo malicioso<\/h2>\n<p>Os invasores incorporaram scripts maliciosos \u00e0 biblioteca para baixar o c\u00f3digo infectado e execut\u00e1-lo nos computadores das v\u00edtimas, tanto no Linux quanto no Windows. O objetivo de um m\u00f3dulo era extrair criptomoeda. Um segundo (apenas para Windows) era capaz de roubar informa\u00e7\u00f5es confidenciais, como cookies do navegador, senhas e credenciais do sistema operacional.<\/p>\n<p>No entanto, isso pode n\u00e3o ser tudo: de acordo com <a href=\"https:\/\/us-cert.cisa.gov\/ncas\/current-activity\/2021\/10\/22\/malware-discovered-popular-npm-package-ua-parser-js\" target=\"_blank\" rel=\"noopener nofollow\">o aviso<\/a> da Ag\u00eancia de Prote\u00e7\u00e3o Cibern\u00e9tica e de Infraestrutura dos EUA (CISA, sigla em ingl\u00eas), a instala\u00e7\u00e3o de bibliotecas comprometidas pode permitir que invasores assumam o controle dos sistemas infectados.<\/p>\n<p>De acordo com os <a href=\"https:\/\/github.com\/faisalman\/ua-parser-js\/issues\/536\" target=\"_blank\" rel=\"noopener nofollow\">usu\u00e1rios do GitHub<\/a>, o malware cria arquivos bin\u00e1rios: jsextension (no Linux) e jsextension.exe (no Windows). A presen\u00e7a desses arquivos \u00e9 um claro indicador de comprometimento do sistema.<\/p>\n<h2>Como o c\u00f3digo malicioso entrou na biblioteca UAParser.js<\/h2>\n<p>Faisal Salman, o desenvolvedor do projeto UAParser.js, <a href=\"https:\/\/github.com\/faisalman\/ua-parser-js\/issues\/536#issuecomment-949742904\" target=\"_blank\" rel=\"noopener nofollow\">afirmou que<\/a> um invasor n\u00e3o identificado obteve acesso \u00e0 sua conta no reposit\u00f3rio npm e publicou tr\u00eas vers\u00f5es maliciosas da biblioteca UAParser.js. O desenvolvedor imediatamente adicionou um aviso aos pacotes comprometidos e contatou o suporte do npm, que removeu rapidamente as vers\u00f5es perigosas. No entanto, enquanto os pacotes estavam online, um n\u00famero significativo de m\u00e1quinas poderia ter baixado.<\/p>\n<p>Aparentemente, eles ficaram online por pouco mais de quatro horas, das 14h15 \u00e0s 18h23 CET (Central European Time) do dia 22 de outubro. \u00c0 noite, o desenvolvedor notou atividade incomum de spam em sua caixa de entrada \u2013 ele disse ficou alerta sobre atividades suspeitas \u2013 e descobriu a causa raiz do problema.<\/p>\n<h2>O que fazer se voc\u00ea baixou bibliotecas infectadas<\/h2>\n<p>A primeira etapa \u00e9 verificar se h\u00e1 malware nos computadores. Todos os componentes usados no ataque s\u00e3o detectados com sucesso por nossos produtos.<\/p>\n<p>Em seguida, atualize suas bibliotecas para as vers\u00f5es corrigidas \u2013 0.7.30, 0.8.1 e 1.0.1. No entanto, isso n\u00e3o \u00e9 suficiente: <a href=\"https:\/\/github.com\/advisories\/GHSA-pjwm-rvh2-c87w\" target=\"_blank\" rel=\"noopener nofollow\">de acordo com o comunicado<\/a>, qualquer computador no qual uma vers\u00e3o infectada da biblioteca foi instalada ou executada deve ser considerado completamente comprometido. Portanto, os usu\u00e1rios e administradores devem alterar todas as credenciais usadas nesses computadores.<\/p>\n<p>De maneira geral, os ambientes de desenvolvimento ou constru\u00e7\u00e3o s\u00e3o alvos convenientes para invasores que tentam organizar ataques \u00e0 cadeia de suprimentos. Isso significa que esses ambientes exigem urgentemente <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/devops-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">prote\u00e7\u00e3o antimalware<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-gartner\">\n","protected":false},"excerpt":{"rendered":"<p>O pacote Npm UAParser.js, instalado em dezenas de milh\u00f5es de computadores em todo o mundo, foi infectado por um ladr\u00e3o de senhas e um minerador. Aqui est\u00e1 o que fazer para se proteger.<\/p>\n","protected":false},"author":2577,"featured_media":18363,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260],"tags":[2800,2801,350,160,1373,1287,102,1934,230],"class_list":{"0":"post-18359","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-javascript","9":"tag-ladrao-de-senhas","10":"tag-linux","11":"tag-macos","12":"tag-mineracao","13":"tag-mining","14":"tag-senhas","15":"tag-supply-chain","16":"tag-windows"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/uaparser-js-infected-versions\/18359\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/uaparser-js-infected-versions\/23525\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/uaparser-js-infected-versions\/19009\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/uaparser-js-infected-versions\/25614\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/uaparser-js-infected-versions\/23678\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/uaparser-js-infected-versions\/23186\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/uaparser-js-infected-versions\/26330\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/uaparser-js-infected-versions\/25871\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/uaparser-js-infected-versions\/31787\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/uaparser-js-infected-versions\/10204\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/uaparser-js-infected-versions\/42700\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/uaparser-js-infected-versions\/17993\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/uaparser-js-infected-versions\/15441\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/uaparser-js-infected-versions\/27646\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/uaparser-js-infected-versions\/31874\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/uaparser-js-infected-versions\/27775\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/uaparser-js-infected-versions\/24517\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/uaparser-js-infected-versions\/29877\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/uaparser-js-infected-versions\/29679\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/supply-chain\/","name":"supply chain"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18359","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2577"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=18359"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18359\/revisions"}],"predecessor-version":[{"id":18361,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18359\/revisions\/18361"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/18363"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=18359"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=18359"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=18359"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}