Trang web chính thức của nền tảng phổ biến thư viện JavaScript jQuery (jquery.com) đã bị xâm nhập và chuyển hướng khách truy cập đến một trang web của bên thứ ba lưu trữ RIG khai thác bộ, để phân phối phần mềm độc hại đánh cắp thông tin.
JQuery là một nguồn thư viện JavaScript mở miễn phí được thiết kế để đơn giản hóa các kịch bản phía máy khách của HTML. Nó được sử dụng để xây dựng các ứng dụng AJAX và nội dung động khác dễ dàng. Các thư viện JavaScript phổ biến được sử dụng bởi 30 phần trăm của các trang web, trong đó có 70 phần trăm trong số 10.000 trang web truy cập nhiều nhất trên cùng.
James Pleger, Giám đốc nghiên cứu tại công ty phần mềm quản lý rủi ro RiskIQ, báo cáo ngày hôm qua rằng các cuộc tấn công chống lại các máy chủ web jQuery.com đưa ra cho một khoảng thời gian ngắn vào buổi chiều ngày 18 tháng 9.
Vì vậy, những người dùng truy cập các trang web vào ngày 18 tháng 5 đã bị nhiễm hệ thống của họ với phần mềm độc hại đánh cắp dữ liệu bằng cách chuyển hướng người dùng đến các trang web lưu trữ RIG. Pleger kêu gọi những người truy cập trang web trong cuộc tấn công bị cáo buộc để lại hình ảnh của hệ thống của họ, thiết lập lại mật khẩu cho tài khoản người dùng đã được sử dụng trên hệ thống, và cũng có thể tìm kiếm bất kỳ hoạt động đáng ngờ nếu có nguồn gốc từ hệ thống vi phạm hay không.
Tội phạm mạng đã phát hiện ra một lỗ hổng trong tính web vào trang web của jQuery, hệ thống phụ trợ, cơ sở hạ tầng quan trọng khác và tiêm JavaScript độc hại mà chuyển hướng nạn nhân.
Các RIG khai thác bộ thường được sử dụng để cung cấp phần mềm độc hại Trojan ngân hàng và đánh cắp thông tin khác. Các nhà nghiên cứu cho biết ông phát hiện phần mềm độc hại trên các máy tính bị xâm nhập để đánh cắp thông tin và dữ liệu khác.
Các nhà nghiên cứu đã ngay lập tức thông báo RiskIQ jQuery Foundation về vấn đề này. Tuy nhiên, để đáp ứng, jQuery Foundation cho biết cuộc điều tra nội bộ của họ vào các máy chủ và các bản ghi không tìm thấy RIG khai thác bộ hoặc bằng chứng cho thấy đã có một sự thỏa hiệp.
Các giàn khoan khai thác Kit lần đầu tiên được phát hiện vào tháng Tư năm nay, trong đó kiểm tra cho một phiên bản chưa được vá của Flash, Internet Explorer, Java hoặc các chương trình đa phương tiện Silverlight vào người sử dụng bị nhiễm bệnh và nếu tìm thấy, hệ thống ngay lập tức được khai thác bởi các diễn viên xấu. Nó cũng được sử dụng để phân phối Cryptowall ransomware trở lại vào tháng Sáu.
Cập nhật:
Trong một bài viết trên blog chính thức, Ralph Whitbeck từ jQuery.com nhận xét về kết quả RiskIQ:
"Mặc dù chúng tôi không có bằng chứng trực tiếp của sự thỏa hiệp, chúng tôi đã thực hiện các biện pháp phòng ngừa thích hợp để đảm bảo các máy chủ của chúng tôi là an toàn và sạch sẽ." ông nói thêm.
JQuery là một nguồn thư viện JavaScript mở miễn phí được thiết kế để đơn giản hóa các kịch bản phía máy khách của HTML. Nó được sử dụng để xây dựng các ứng dụng AJAX và nội dung động khác dễ dàng. Các thư viện JavaScript phổ biến được sử dụng bởi 30 phần trăm của các trang web, trong đó có 70 phần trăm trong số 10.000 trang web truy cập nhiều nhất trên cùng.
James Pleger, Giám đốc nghiên cứu tại công ty phần mềm quản lý rủi ro RiskIQ, báo cáo ngày hôm qua rằng các cuộc tấn công chống lại các máy chủ web jQuery.com đưa ra cho một khoảng thời gian ngắn vào buổi chiều ngày 18 tháng 9.
Vì vậy, những người dùng truy cập các trang web vào ngày 18 tháng 5 đã bị nhiễm hệ thống của họ với phần mềm độc hại đánh cắp dữ liệu bằng cách chuyển hướng người dùng đến các trang web lưu trữ RIG. Pleger kêu gọi những người truy cập trang web trong cuộc tấn công bị cáo buộc để lại hình ảnh của hệ thống của họ, thiết lập lại mật khẩu cho tài khoản người dùng đã được sử dụng trên hệ thống, và cũng có thể tìm kiếm bất kỳ hoạt động đáng ngờ nếu có nguồn gốc từ hệ thống vi phạm hay không.
"Tuy nhiên, phát hiện phần mềm độc hại đánh cắp thông tin trên jQuery.com đặc biệt bối rối vì nhân khẩu học của người dùng jQuery [là ai] Nói chung nó quản trị hệ thống và các nhà phát triển web, bao gồm cả đội ngũ lớn những người làm việc trong các doanh nghiệp," Pleger viết.
Tội phạm mạng đã phát hiện ra một lỗ hổng trong tính web vào trang web của jQuery, hệ thống phụ trợ, cơ sở hạ tầng quan trọng khác và tiêm JavaScript độc hại mà chuyển hướng nạn nhân.
Các RIG khai thác bộ thường được sử dụng để cung cấp phần mềm độc hại Trojan ngân hàng và đánh cắp thông tin khác. Các nhà nghiên cứu cho biết ông phát hiện phần mềm độc hại trên các máy tính bị xâm nhập để đánh cắp thông tin và dữ liệu khác.
"Trồng phần mềm độc hại có khả năng ăn cắp thông tin trên các thiết bị thuộc sở hữu của các tài khoản đặc quyền sở hữu trong các công ty có thể cho phép kẻ tấn công để thỏa hiệp âm thầm hệ thống doanh nghiệp, tương tự như những gì đã xảy ra trong các hành vi vi phạm mục tiêu khét tiếng.
Các nhà nghiên cứu đã ngay lập tức thông báo RiskIQ jQuery Foundation về vấn đề này. Tuy nhiên, để đáp ứng, jQuery Foundation cho biết cuộc điều tra nội bộ của họ vào các máy chủ và các bản ghi không tìm thấy RIG khai thác bộ hoặc bằng chứng cho thấy đã có một sự thỏa hiệp.
Các giàn khoan khai thác Kit lần đầu tiên được phát hiện vào tháng Tư năm nay, trong đó kiểm tra cho một phiên bản chưa được vá của Flash, Internet Explorer, Java hoặc các chương trình đa phương tiện Silverlight vào người sử dụng bị nhiễm bệnh và nếu tìm thấy, hệ thống ngay lập tức được khai thác bởi các diễn viên xấu. Nó cũng được sử dụng để phân phối Cryptowall ransomware trở lại vào tháng Sáu.
Cập nhật:
Trong một bài viết trên blog chính thức, Ralph Whitbeck từ jQuery.com nhận xét về kết quả RiskIQ:
"Điều tra nội bộ của chúng tôi vào các máy chủ và các bản ghi của chúng tôi vẫn chưa tìm thấy các RIG khai thác bộ hoặc bằng chứng cho thấy đã có trong thực tế, một sự thỏa hiệp.
Nhưng Vâng, "Hiện nay hệ thống tiềm năng chỉ bị tổn hại là phần mềm web hoặc máy chủ chạy jquery.com." và "Tại thời điểm không có các thư viện jQuery tổ chức bị xâm nhập."
"Mặc dù chúng tôi không có bằng chứng trực tiếp của sự thỏa hiệp, chúng tôi đã thực hiện các biện pháp phòng ngừa thích hợp để đảm bảo các máy chủ của chúng tôi là an toàn và sạch sẽ." ông nói thêm.
Theo THN