Ett populärt JavaScript-bibliotek som används av stora globala teknikföretag har blivit måltavla av hackare för att sprida skadlig programvara och installera lösenordstjälare och gruvarbetare för kryptovaluta på offrens maskiner.

UAParser.js JavaScript-biblioteket, som nås mer än 7 miljoner gånger per vecka, används för att upptäcka User-Agent-data med små utrymmen, som en besökares webbläsare och operativsystem, och är känt för att användas av sådana som Facebook, Microsoft, Amazon, Reddit och många fler teknikjättar.

Kapningen av paketet, som enligt uppgift ägde rum den 22 oktober, såg att en hotaktör publicerade skadliga versioner av UAParser.js-biblioteket för att rikta in sig på Linux- och Windows-datorer.

Om det skadliga paketet laddades ner till en offerdator kunde det ha gjort det möjligt för hackare att skaffa känslig information eller ta kontroll över sitt system, enligt en varning som utfärdades av US Cybersecurity and Infrastructure Security Agency (CISA) på fredagen.

Hotaktören fick tillgång till utvecklarens konto och använde det för att distribuera de infekterade versionerna, enligt paketets författare Faisal Salman, i en diskussion som hölls på GitHub.

Salman ber om ursäkt för omständigheterna och sa:"Jag märkte något ovanligt när min e-post plötsligt översvämmades av skräppost från hundratals webbplatser. Jag tror att någon kapade mitt npm-konto och publicerade några komprometterade paket (0.7.29, 0.8.0, 1.0. 0) som förmodligen kommer att installera skadlig programvara."

När han identifierade de infekterade versionerna, flaggade Salman var och en för att innehålla skadlig programvara och tog bort dem från plattformen.

En berörd användare analyserade de komprometterade paketen och upptäckte ett skript som försökte exportera deras OS-uppgifter och en kopia av Chrome-webbläsarens DB-fil för cookies.

Ytterligare analys av Sonatype, sedd av Bleeping Computer , visar att den skadliga koden kommer att kontrollera operativsystemet som används på ett offers enhet och, beroende på vilket operativsystem som används, startar ett Linux-skalskript eller en Windows-batchfil.

Paketet skulle initiera ett preinstall.sh-skript för att kontrollera Linux-enheter om användaren befann sig i Ryssland, Ukraina, Vitryssland och Kazakstan. Om enheten var placerad någon annanstans skulle skriptet ladda ner en XMRig Monero-krypteringsminerare designad för att använda 50 % av offrets processorkraft för att undvika upptäckt.

För Windows-användare skulle samma Monero-gruvarbetare installeras utöver en trojan som stjäl lösenord, som Sonatype spekulerar vara DanaBot – en banktrojan som används av organiserade brottsliga grupper.

Ytterligare analys visade också att lösenordsstjälaren också försökte stjäla lösenord från Windows Credential Manager med hjälp av ett PowerShell-skript.

Användare av UAParser.js-biblioteket rekommenderas att kontrollera versionen som används i sina projekt och uppgradera till den senaste versionen, som är fri från skadlig kod.

Samma vecka upptäckte Sonatype även ytterligare tre bibliotek innehållande liknande kod, återigen inriktade på Linux- och Windows-maskiner med gruvarbetare för kryptovaluta.