Die verhaal van die verwydering uit die NPM-bewaarplek van drie kwaadwillige pakkette wat die kode van die UAParser.js-biblioteek gekopieer het, het 'n onverwagte voortsetting gekry - onbekende aanvallers het beheer oor die rekening van die skrywer van die UAParser.js-projek beslag gelê en opdaterings vrygestel wat kode bevat vir wagwoorde steel en kripto-geldeenhede ontgin.
Die probleem is dat die UAParser.js-biblioteek, wat funksies bied om die User-Agent HTTP-kopskrif te ontleed, ongeveer 8 miljoen aflaaie per week het en as 'n afhanklikheid in meer as 1200 XNUMX projekte gebruik word. Daar word gesê dat UAParser.js gebruik word in projekte van maatskappye soos Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP en Verison .
Die aanval is uitgevoer deur die inbraak van die rekening van die projekontwikkelaar, wat besef het iets is fout nadat 'n ongewone vlaag strooipos in sy posbus geval het. Hoe presies die ontwikkelaar se rekening gekap is, word nie gerapporteer nie. Die aanvallers het vrystellings 0.7.29, 0.8.0 en 1.0.0 geskep, wat kwaadwillige kode daarin inbring. Binne 'n paar uur het die ontwikkelaars beheer oor die projek herwin en opdaterings 0.7.30, 0.8.1 en 1.0.1 geskep om die probleem op te los. Kwaadwillige weergawes is slegs as pakkette in die NPM-bewaarplek gepubliseer. Die projek se Git-bewaarplek op GitHub is nie geraak nie. Alle gebruikers wat problematiese weergawes geïnstalleer het, as hulle die jsextension-lêer op Linux/macOS vind, en die jsextension.exe- en create.dll-lêers op Windows, word aangeraai om te oorweeg dat die stelsel gekompromitteer is.
Die kwaadwillige veranderinge wat bygevoeg is, herinner aan veranderinge wat voorheen voorgestel is in klone van UAParser.js, wat blykbaar vrygestel is om funksionaliteit te toets voordat 'n grootskaalse aanval op die hoofprojek geloods is. Die jsextension-uitvoerbare lêer is afgelaai en op die gebruiker se stelsel geloods vanaf 'n eksterne gasheer, wat gekies is na gelang van die gebruiker se platform en ondersteunde werk op Linux, macOS en Windows. Vir die Windows-platform het die aanvallers, benewens die program vir die ontginning van die Monero-cryptocurrency (die XMRig-mynwerker gebruik), ook die bekendstelling van die create.dll-biblioteek georganiseer om wagwoorde te onderskep en na 'n eksterne gasheer te stuur.
Die aflaaikode is by die preinstall.sh-lêer gevoeg, waarin die IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') ingevoeg word as [ -z " $ IP" ] ... laai die uitvoerbare lêer fi
Soos gesien kan word uit die kode, het die skrif eers die IP-adres in die freegeoip.app-diens nagegaan en het nie 'n kwaadwillige toepassing vir gebruikers van Rusland, Oekraïne, Wit-Rusland en Kazakstan geloods nie.
Bron: opennet.ru