상세 컨텐츠

본문 제목

인기있는 NPM 라이브러리 하이잭, 패스워드 스틸러 및 채굴기 설치해

국내외 보안동향

by 알약4 2021. 10. 25. 09:00

본문

 

Popular NPM library hijacked to install password-stealers, miners

 

해커가 매주 수백만 회 다운로드되는 인기 UA-Parser-JS NPM 라이브러리를 하이재킹했습니다. 공급망 공격을 통해 리눅스와 윈도우 기기를 크립토마이너와 패스워드 스틸러 트로이 목마에 감염시키기 위함이었습니다.

 

UA-Parser-JS 라이브러리는 방문자의 브라우저, 엔진, OS, CPU, 기기 유형/모델을 식별하기 위해 브라우저의 사용자 에이전트를 파싱하는데 사용됩니다.

 

이 라이브러리는 엄청난 인기를 자랑합니다. 현재까지 매주 수백만 회 다운로드되었으며, 이번 달만 2,400만 건 이상 다운로드되었습니다. 또한 이 라이브러리는 Facebook, Microsoft, Amazon, Instagram, Google, Slack, Mozilla, Discord, Elastic, Intuit, Reddit 등 많은 유명 기업의 프로젝트를 포함하여 천 개 이상의 프로젝트에서 사용됩니다.

 

 

<이미지 출처 : NPM-stat.com>

<매주 수백만 회 다운로드되는 UA-Parser-JS>

 

 

UA-Parser-JS 프로젝트 하이잭, 악성코드 설치에 악용돼

 

지난 10 22, 공격자는 리눅스와 윈도우 기기에 크립토마이너 및 패스워드 스틸러 트로이 목마를 설치하기 위해 UA-Parser-JS NPM 라이브러리의 악성 버전을 게시했습니다.

 

개발자는 그의 NPM 계정이 하이재킹되어 라이브러리의 악성 버전 세 가지가 배포되는데 사용되었다고 밝혔습니다.

 

UA-Parser의 개발자인 Faisal Salman은 버그리포트에서 아래와 같이 언급했습니다.

 

"내 이메일이 갑자기 수백 개의 웹사이트에서 보낸 스팸으로 넘쳐났을 때 뭔가 이상하다고 느꼈습니다.”

 

"누군가 내 npm 계정을 도용해 해킹된 패키지(0.7.29, 0.8.0, 1.0.0)를 게시한 것으로 추측했습니다. 이는 아마도 악성코드를 설치할 것입니다.”

 

취약한 버전과 패치된 버전은 아래와 같습니다.

 

악성 버전 수정된 버전
0.7.29 0.7.30
0.8.0 0.8.1
1.0.0 1.0.1

 

해킹된 패키지가 사용자의 기기에 설치되면, preinstall.js 스크립트는 기기에 설치된 OS의 타입을 확인한 다음 리눅스 셸 스크립트 또는 윈도우 배치파일을 실행합니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/popular-npm-library-hijacked-to-install-password-stealers-miners/>

<OS 유형을 확인하는데 사용되는 preinstall.js 스크립트>

 

 

리눅스 기기일 경우 preinstall.sh 스크립트가 실행되어 사용자가 러시아, 우크라이나, 벨로루시, 카자흐스탄에 위치해 있는지 확인합니다. 아닐 것으로 확인된 경우 해당 스크립트는 159[.]148[.]186[.]228에서 jsextension 프로그램을 다운로드 후 실행합니다.

 

Jsextension 프로그램은 XMRig 모네로 채굴기로, 쉽게 탐지되는 것을 방지하기 위해 CPU50%만 사용합니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/popular-npm-library-hijacked-to-install-password-stealers-miners/>

<채굴기를 설치하는 리눅스 셸 스크립트>

 

 

윈도우 기기일 경우, 배치파일이 XMRig 모네로 채굴기를 설치하고 jsextension.exe로 저장 후 실행합니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/popular-npm-library-hijacked-to-install-password-stealers-miners/>

<채굴기를 설치하는 윈도우 배치 파일>

 

 

이 배치파일은 sdd.dll 파일을 다운로드 후 create.dll로 저장하는데, 이는 기기에 저장된 패스워드를 훔치는 패스워드 스틸링 트로이목마(DanaBot으로 추정됨)입니다.

 

해당 DLLFTP 클라이언트, VNC, 메시징 소프트웨어, 이메일 클라이언트, 브라우저 등 다양한 프로그램의 패스워드를 훔치려 시도합니다.

 

타깃 프로그램 목록은 아래와 같습니다.

 

WinVNC Firefox FTP Control
Screen Saver 9x Apple Safari NetDrive
PC Remote Control Remote Desktop Connection Becky
ASP.NET Account Cisco VPN Client The Bat!
FreeCall GetRight Outlook
Vypress Auvis FlashGet/JetCar Eudora
CamFrog FAR Manager FTP Gmail Notifier
Win9x NetCache Windows/Total Commander Mail.Ru Agent
ICQ2003/Lite WS_FTP IncrediMail
"&RQ, R&Q" CuteFTP Group Mail Free
Yahoo! Messenger FlashFXP PocoMail
Digsby FileZilla Forte Agent
Odigo FTP Commander Scribe
IM2/Messenger 2 BulletProof FTP Client POP Peeper
Google Talk SmartFTP Mail Commander
Faim TurboFTP Windows Live Mail
MySpaceIM FFFTP Mozilla Thunderbird
MSN Messenger CoffeeCup FTP SeaMonkey
Windows Live Messenger Core FTP Flock
Paltalk FTP Explorer Download Master
Excite Private Messenger Frigate3 FTP Internet Download Accelerator
Gizmo Project SecureFX IEWebCert
AIM Pro UltraFXP IEAutoCompletePWs
Pandion FTPRush VPN Accounts
Trillian Astra WebSitePublisher Miranda
888Poker BitKinex GAIM
FullTiltPoker ExpanDrive Pidgin
PokerStars Classic FTP QIP.Online
TitanPoker Fling JAJC
PartyPoker SoftX FTP Client WebCred
CakePoker Directory Opus Windows Credentials
UBPoker FTP Uploader MuxaSoft Dialer
EType Dialer FreeFTP/DirectFTP FlexibleSoft Dialer
RAS Passwords LeapFTP Dialer Queen
Internet Explorer WinSCP VDialer
Chrome 32bit FTP Advanced Dialer
Opera WebDrive Windows RAS

 

 

UA-Parser-JS 사용자가 해야할 일

 

UA-Parser-JS 사용자들은 프로젝트에 악성 소프트웨어가 있는지 확인해야 합니다.

 

윈도우의 경우 jsextension.exe, 리눅스의 경우 jsextension이 있는지 확인 후 삭제해야 합니다.

 

윈도우를 사용할 경우 기기에서 create.dll 파일을 검색해 즉시 삭제하시기 바랍니다.

 

윈도우 사용자는 패스워드 스틸링 트로이목마에 감염되지만, 리눅스 사용자는 감염될 경우 기기가 완전히 해킹된 것으로 간주하는 것이 좋습니다.

 

따라서 모든 사용자들은 패스워드, 키를 변경하고 토큰을 재설정하는 것이 좋습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.Linux.CoinMiner’, ‘Trojan.Agent.Miner’로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/popular-npm-library-hijacked-to-install-password-stealers-miners/

https://github.com/faisalman/ua-parser-js/issues/536#issuecomment-949742904

관련글 더보기

댓글 영역