Aanvallers hebben op 18 september de website jQuery.com gebruikt om malware onder bezoekers te verspreiden. De jQuery library is een erg populaire toolkit voor de ontwikkeling van websites met dynamische content en wordt door veel ontwikkelaars binnen bedrijven en organisaties gebruikt.

Volgens jQuery zouden 30% van de websites op internet de library gebruiken, waaronder 70% van de top 10.000 websites in de wereld. De aanvallers wisten op jQuery.com een iframe te plaatsen dat bezoekers naar een pagina met de RIG-exploitkit doorstuurde. Deze exploitkit maakt misbruik van bekende lekken in Flash Player, Java, Internet Explorer en Microsoft Silverlight die niet door gebruikers zijn gepatcht om computers met malware te infecteren.

In dit geval werd de Andromeda-malware geïnstalleerd die wachtwoorden kan stelen, zo meldt RiskIQ, De malware werd door 10 van de 54 virusscanners op VirusTotal.com herkend. Volgens het beveiligingsbedrijf zou de library van jQuery zelf niet zijn aangepast. Volgens White Fir Design zou jQuery.com een verouderde en onveilige versie van WordPress draaien.

Update 16:02

In een verklaring stelt jQuery dat het samen met RiskIQ naar aanwijzingen heeft gezocht dat de server gehackt was, maar heeft vooralsnog geen bewijs kunnen vinden dat dit het geval was.