Nhóm bảo mật của thư viện JavaScript NPM đã cảnh báo người dùng rằng hai gói thư viện Coa vs Rc đang bị hacker tấn công và cài đặt phần mềm độc hại để đánh cắp mật khẩu người dùng.
Gói thư viện Coa ở phiên bản 2.0.3, 2.0.4, 2.1.1, 2.1.3, 3.0.1, 3.1.3 và gói thư viện Rc ở phiên bản 1.2.9, 1.3.9, 2.3.9 là mục tiêu tấn công hiện tại của các hacker hiện tại. Ngoài ra, hai gói thư viện này hàng tuần có 23 triệu lượt tải xuống từ người dùng.
Hacker đánh cắp quyền truy cập của hai gói thư viện Coa và Rc
Các hacker đã đánh cắp được quyền truy cập của nhà phát triển hai gói JavaScript này để xâm phạm bất hợp pháp.
“Tài khoản của nhà phát triển bị xâm phạm tạm thời đã bị vô hiệu hóa và chúng tôi đang tích cực điều tra sự cố và theo dõi hoạt động tương tự,” nhóm npm cho biết hôm thứ năm tuần rồi.
Khi xâm nhập thành công, hacker sẽ thêm một tập lệnh script vào cơ sở mã nguồn gốc của thư viện, và tập lệnh script sẽ chạy dưới dạng TypeScript. Ngoài ra, các script này có chức năng kiểm tra hệ điều hành Windows hoặc Linux của người dùng và tải xuống một tập lệnh bash.
Theo các nhà nghiên cứu đã giải mã tập lệnh bash từ hệ điều hành, sau khi người dùng tải xuống hai gói thư viện Coa và Rc về máy tính, thì họ đã vô tình tải xuống một tệp file DLL chứa trojan Qakbot.
Một tập lệnh script trong thư viện Coa
Ban đầu, người dùng phát hiện thư viện Coa và Rc có vấn đề và gặp lỗi nghiêm trọng sau khi xây dựng các ứng dụng dựa trên ngôn ngữ React. Kể từ đó, vụ việc đã được báo cáo cho công ty NPM, và nhóm bảo mật này đã xóa tất cả phiên bản Coa và Rc trên.
Vụ việc cài đặt phần mềm độc hại vào hai thư viện Coa và Rc lần này cũng gần giống với vụ xâm nhập thư viện UAParser vào cuối tháng 10 năm 2021.