{"id":25871,"date":"2021-10-28T15:00:56","date_gmt":"2021-10-28T13:00:56","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=25871"},"modified":"2021-10-28T13:58:43","modified_gmt":"2021-10-28T11:58:43","slug":"uaparser-js-infected-versions","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/uaparser-js-infected-versions\/25871\/","title":{"rendered":"Il popolare pacchetto JavaScript UAParser.js infettato da malware"},"content":{"rendered":"<p>Degli attaccanti sconosciuti hanno compromesso diverse versioni di una popolare libreria JavaScript, UAParser.js, inserendo un codice dannoso. Secondo le <a href=\"https:\/\/www.npmjs.com\/package\/ua-parser-js\" target=\"_blank\" rel=\"noopener nofollow\">statistiche sulla pagina degli sviluppatori<\/a>, molti progetti fano uso di questa libreria, che viene scaricata da 6 a 8 milioni di volte ogni settimana.<\/p>\n<p>I criminali informatici hanno compromesso tre versioni della libreria: la 0.7.29, 0.8.0 e 1.0.0. Tutti gli utenti e gli amministratori dovrebbero aggiornare le librerie alle versioni 0.7.30, 0.8.1 e 1.0.1, rispettivamente, il prima possibile.<\/p>\n<h2>Che cos\u2019\u00e8 UAParser.js, e perch\u00e9 \u00e8 cos\u00ec famoso<\/h2>\n<p>Gli sviluppatori JavaScript usano la libreria UAParser.js per analizzare i dati User-Agent inviati dai browser. \u00c8 implementata su molti siti web e utilizzata nel processo di sviluppo del software di varie aziende, tra cui Facebook, Apple, Amazon, Microsoft, Slack, IBM, HPE, Dell, Oracle, Mozilla e altri. Inoltre, alcuni sviluppatori di software utilizzano strumenti di terze parti, come il framework Karma per il software testing, che dipende anch\u2019esso da questa libreria, aumentando ulteriormente la scala dell\u2019attacco, aggiungendo un ulteriore anello alla supply chain.<\/p>\n<h2>Introduzione ai codici dannosi<\/h2>\n<p>I criminali informatici hanno incorporato script dannosi nella libreria per scaricare il codice dannoso ed eseguirlo sui computer delle vittime, sia in Linux che in Windows. Lo scopo di un modulo era quello di estrarre criptovalute, il secondo, invece (solo per Windows), era in grado di rubare informazioni riservate come i cookie dai browser, password e credenziali del sistema operativo.<\/p>\n<p>Tuttavia, potrebbe non essere finita qui: secondo gli <a href=\"https:\/\/us-cert.cisa.gov\/ncas\/current-activity\/2021\/10\/22\/malware-discovered-popular-npm-package-ua-parser-js\" target=\"_blank\" rel=\"noopener nofollow\">avvisi<\/a> della US Cybersecurity and Infrastructure Protection Agency (CISA), l\u2019installazione di librerie compromesse potrebbe permettere ai criminali informatici di prendere il controllo dei sistemi infetti.<\/p>\n<p>Secondo gli <a href=\"https:\/\/github.com\/faisalman\/ua-parser-js\/issues\/536\" target=\"_blank\" rel=\"noopener nofollow\">utenti di GitHub<\/a>, il malware crea file binari: jsextension (in Linux) e jsextension.exe (in Windows). La presenza di questi file \u00e8 un chiaro indicatore di compromissione del sistema.<\/p>\n<h2>Come \u00e8 riuscito a entrare il codice dannoso nella libreria UAParser.js<\/h2>\n<p>Faisal Salman, lo sviluppatore del progetto UAParser.js, <a href=\"https:\/\/github.com\/faisalman\/ua-parser-js\/issues\/536#issuecomment-949742904\" target=\"_blank\" rel=\"noopener nofollow\">ha dichiarato<\/a> che un cybercriminale non identificato ha avuto accesso al suo account nel repository npm e ha pubblicato tre versioni dannose della libreria UAParser.js. Lo sviluppatore ha immediatamente aggiunto un avvertimento ai pacchetti compromessi e ha contattato il supporto di npm, che ha rapidamente rimosso le versioni pericolose. Tuttavia, mentre i pacchetti erano online, un numero significativo di dispositivi potrebbe averli scaricati.<\/p>\n<p>A quanto pare, sono stati online per poco pi\u00f9 di quattro ore, dalle 14:15 alle 18:23 CET del 22 ottobre. In serata, lo sviluppatore ha notato un\u2019insolita attivit\u00e0 di spam nella sua casella di posta elettronica, il che gli ha fatto notare le attivit\u00e0 sospette, e ha cos\u00ec potuto scoprire la causa principale del problema.<\/p>\n<h2>Cosa fare se avete scaricato librerie infette<\/h2>\n<p>Il primo passo \u00e8 controllare i computer, tutti i componenti del malware usato nell\u2019attacco sono rilevati con successo dai nostri prodotti.<\/p>\n<p>Successivamente, vi consigliamo di aggiornare le vostre librerie alle versioni corrette, la 0.7.30, 0.8.1 e 1.0.1. Tuttavia, potrebbe non essere sufficiente: <a href=\"https:\/\/github.com\/advisories\/GHSA-pjwm-rvh2-c87w\" target=\"_blank\" rel=\"noopener nofollow\">secondo l\u2019avviso<\/a>, qualsiasi computer su cui \u00e8 stata installata o eseguita una versione infetta della libreria dovrebbe essere considerato completamente compromesso. Pertanto, gli utenti e gli amministratori dovrebbero cambiare tutte le credenziali che sono state utilizzate su quei computer.<\/p>\n<p>In generale, gli ambienti di sviluppo o di compilazione sono obiettivi convenienti per i criminali informatici che cercano di organizzare attacchi alla supply chain. Ci\u00f2 significa che tali ambienti richiedono urgentemente una <a href=\"https:\/\/www.kaspersky.it\/enterprise-security\/devops-security?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">protezione antimalware<\/a>.<\/p>\n<p><strong><input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-top3\"><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Il pacchetto Npm UAParser.js, installato su decine di milioni di computer in tutto il mondo, \u00e8 stato infettato con password stealer e miner. Ecco cosa fare.<\/p>\n","protected":false},"author":700,"featured_media":25872,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641],"tags":[3588,961,2345,819,62,3357,3076,23],"class_list":{"0":"post-25871","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-javascript","9":"tag-linux","10":"tag-macos","11":"tag-miner","12":"tag-password","13":"tag-password-stealer","14":"tag-supply-chain","15":"tag-windows"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/uaparser-js-infected-versions\/25871\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/uaparser-js-infected-versions\/23525\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/uaparser-js-infected-versions\/19009\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/uaparser-js-infected-versions\/25614\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/uaparser-js-infected-versions\/23678\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/uaparser-js-infected-versions\/23186\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/uaparser-js-infected-versions\/26330\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/uaparser-js-infected-versions\/31787\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/uaparser-js-infected-versions\/10204\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/uaparser-js-infected-versions\/42700\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/uaparser-js-infected-versions\/17993\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/uaparser-js-infected-versions\/18359\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/uaparser-js-infected-versions\/15441\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/uaparser-js-infected-versions\/27646\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/uaparser-js-infected-versions\/31874\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/uaparser-js-infected-versions\/27775\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/uaparser-js-infected-versions\/24517\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/uaparser-js-infected-versions\/29877\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/uaparser-js-infected-versions\/29679\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/supply-chain\/","name":"supply chain"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25871","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=25871"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25871\/revisions"}],"predecessor-version":[{"id":25878,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25871\/revisions\/25878"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/25872"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=25871"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=25871"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=25871"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}