{"id":17993,"date":"2021-11-02T13:53:18","date_gmt":"2021-11-02T11:53:18","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=17993"},"modified":"2021-11-02T13:53:18","modified_gmt":"2021-11-02T11:53:18","slug":"uaparser-js-infected-versions","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/uaparser-js-infected-versions\/17993\/","title":{"rendered":"La c\u00e9l\u00e8bre biblioth\u00e8que UAParser.js de JavaScript est infect\u00e9e par un malware"},"content":{"rendered":"

Des cybercriminels non identifi\u00e9s ont compromis plusieurs versions de la c\u00e9l\u00e8bre biblioth\u00e8que UAParser.js de JavaScript en injectant un code malveillant. Selon des statistiques publi\u00e9es sur la page du d\u00e9veloppeur<\/a>, de nombreux projets utilisent cette biblioth\u00e8que, t\u00e9l\u00e9charg\u00e9e entre 6 et 8 millions de fois par semaine.<\/p>\n

Les malfaiteurs s\u2019en sont pris \u00e0 trois versions de la biblioth\u00e8que\u00a0: 0.7.29, 0.8.0 et 1.0.0. Tous les utilisateurs et administrateurs doivent mettre \u00e0 jour la biblioth\u00e8que et installer d\u00e8s que possible les versions 0.7.30, 0.8.1 et 1.0.1, respectivement.<\/p>\n

Qu\u2019est-ce que l\u2019outil UAParser.js et pourquoi est-il tant utilis\u00e9 ?<\/h2>\n

Les d\u00e9veloppeurs de JavaScript utilisent la biblioth\u00e8que UAParser.js pour analyser les donn\u00e9es agent utilisateur (User-Agent<\/em>) que les navigateurs envoient. L\u2019outil est implant\u00e9 dans de nombreux sites et utilis\u00e9 par de nombreuses entreprises dans leur processus de d\u00e9veloppement de programmes, y compris par Facebook, Apple, Amazon, Microsoft, Slack, IBM, HPE, Dell, Oracle, Mozilla et bien d\u2019autres. De plus, certains d\u00e9veloppeurs de programmes ont recours \u00e0 des instruments tiers, comme l\u2019environnement Karma pour tester les codes, qui d\u00e9pendent aussi de cette biblioth\u00e8que, ce qui augmente d\u2019autant plus l\u2019ampleur de l\u2019attaque puisqu\u2019un lien est ajout\u00e9 \u00e0 la cha\u00eene d\u2019approvisionnement.<\/p>\n

L\u2019introduction d\u2019un code malveillant<\/h2>\n

Les cybercriminels ont int\u00e9gr\u00e9 des scripts malveillants dans la biblioth\u00e8que afin de t\u00e9l\u00e9charger un code malveillant et de l\u2019ex\u00e9cuter sur l\u2019ordinateur de la victime, que le syst\u00e8me d\u2019exploitation soit Linux ou Windows. Un des objectifs du module est de miner de la cryptomonnaie. Un autre, qui ne touche que Windows, peut aussi voler des informations confidentielles telles que les cookies du navigateur, les mots de passe et les identifiants du syst\u00e8me d\u2019exploitation.<\/p>\n

Pourtant, ce n\u2019est pas tout. Selon une alerte<\/a> publi\u00e9e par l\u2019agence am\u00e9ricaine Cybersecurity and Infrastructure Protection Agency<\/em> (CISA), l\u2019installation de biblioth\u00e8ques vuln\u00e9rables pourrait permettre aux escrocs de prendre le contr\u00f4le des syst\u00e8mes infect\u00e9s.<\/p>\n

Selon les utilisateurs de GitHub<\/a>, le malware cr\u00e9e des fichiers binaires\u00a0: jsextension (pour Linux) et jsextension.exe (pour Windows). La pr\u00e9sence de ces fichiers indique clairement que le syst\u00e8me a \u00e9t\u00e9 compromis.<\/p>\n

Comment le code malveillant a-t-il eu acc\u00e8s \u00e0 la biblioth\u00e8que UAParser.js ?<\/h2>\n

Faisal Salman, d\u00e9veloppeur du projet UAParser.js, a expliqu\u00e9<\/a> qu\u2019un cybercriminel non identifi\u00e9 a eu acc\u00e8s \u00e0 son compte via le gestionnaire NPM et a publi\u00e9 trois versions malveillantes de la biblioth\u00e8que UAParser.js. Le d\u00e9veloppeur a imm\u00e9diatement ajout\u00e9 un avertissement aux versions dangereuses et a contact\u00e9 l\u2019assistance de NPM, qui a rapidement supprim\u00e9 les versions concern\u00e9es. En revanche, de nombreux dispositifs pourraient avoir t\u00e9l\u00e9charg\u00e9 ces versions tant qu\u2019elles \u00e9taient en ligne.<\/p>\n

Apparemment, elles n\u2019ont \u00e9t\u00e9 disponibles qu\u2019un peu de plus de quatre heures, entre 14h15 et 18h23 le 22 octobre. Le d\u00e9veloppeur s\u2019est rendu compte dans la journ\u00e9e qu\u2019il recevait beaucoup plus de spams que d\u2019habitude, ce qui a \u00e9veill\u00e9 ses soup\u00e7ons et lui a permis de trouver l\u2019origine du probl\u00e8me. Nous ne pouvons pas vraiment savoir combien de fois les \u00e9l\u00e9ments infect\u00e9s ont \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9s mais, trois jours apr\u00e8s l\u2019incident, le code malveillant \u00e9tait encore d\u00e9tect\u00e9 par les solutions de s\u00e9curit\u00e9 de dizaines d\u2019entreprises qui utilisent nos produits dans le monde entier.<\/p>\n

Que faire si vous avez t\u00e9l\u00e9charg\u00e9 une biblioth\u00e8que infect\u00e9e ?<\/h2>\n

La premi\u00e8re \u00e9tape consiste \u00e0 analyser l\u2019ordinateur pour voir s\u2019il y a un malware. Nos produits d\u00e9tectent tous les composants du malware utilis\u00e9 lors de cette attaque.<\/p>\n

Vous devez ensuite mettre \u00e0 jour la biblioth\u00e8que et installer la version corrig\u00e9e\u00a0: 0.7.30, 0.8.1 ou 1.0.1. Mais cela ne suffit pas. Selon l\u2019alerte<\/a>, tout dispositif ayant install\u00e9 ou ex\u00e9cut\u00e9 une version infect\u00e9e de la biblioth\u00e8que devrait \u00eatre consid\u00e9r\u00e9 comme compl\u00e8tement compromis. Ainsi, les utilisateurs et les administrateurs devraient modifier tous les identifiants utilis\u00e9s sur ces dispositifs.<\/p>\n

En g\u00e9n\u00e9ral, les environnements de d\u00e9veloppement ou de compilation sont des cibles attrayantes pour les cybercriminels qui essaient d\u2019organiser des attaques de la cha\u00eene d\u2019approvisionnement. Cela signifie que ces environnements ont besoin de toute urgence d\u2019une protection anti-malware<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Le package NPM de la biblioth\u00e8que UAParser.js, install\u00e9e sur des dizaines de millions d\u2019ordinateurs dans le monde, a \u00e9t\u00e9 infect\u00e9e par un voleur de mots de passe et un mineur. Voici ce que vous devez faire.<\/p>\n","protected":false},"author":700,"featured_media":17994,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[686],"tags":[3197,4218,623,599,2841,205,3937,23],"class_list":{"0":"post-17993","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-chaine-dapprovisionnement","9":"tag-javascript","10":"tag-linux","11":"tag-macos","12":"tag-mineurs","13":"tag-mots-de-passe","14":"tag-voleur-de-mots-de-passe","15":"tag-windows"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/uaparser-js-infected-versions\/17993\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/uaparser-js-infected-versions\/23525\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/uaparser-js-infected-versions\/19009\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/uaparser-js-infected-versions\/25614\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/uaparser-js-infected-versions\/23678\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/uaparser-js-infected-versions\/23186\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/uaparser-js-infected-versions\/26330\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/uaparser-js-infected-versions\/25871\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/uaparser-js-infected-versions\/31787\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/uaparser-js-infected-versions\/10204\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/uaparser-js-infected-versions\/42700\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/uaparser-js-infected-versions\/18359\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/uaparser-js-infected-versions\/15441\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/uaparser-js-infected-versions\/27646\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/uaparser-js-infected-versions\/31874\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/uaparser-js-infected-versions\/27775\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/uaparser-js-infected-versions\/24517\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/uaparser-js-infected-versions\/29877\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/uaparser-js-infected-versions\/29679\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/chaine-dapprovisionnement\/","name":"chaine d'approvisionnement"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17993","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=17993"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17993\/revisions"}],"predecessor-version":[{"id":17997,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17993\/revisions\/17997"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/17994"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=17993"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=17993"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=17993"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}