ከ NPM ማከማቻ የ UAParser.js ቤተመፃህፍት ኮድ የገለበጡ ሶስት ተንኮል አዘል ፓኬጆችን የማስወገድ ታሪክ ያልተጠበቀ ቀጣይነት አግኝቷል - ያልታወቁ አጥቂዎች የ UAParser.js ፕሮጀክት ፀሐፊን መለያ ተቆጣጠሩ እና ለ ኮድ የያዙ ዝመናዎችን አውጥተዋል የይለፍ ቃሎችን መስረቅ እና ምስጠራ ምንዛሬዎችን ማውጣት።
ችግሩ የኤችቲቲፒ ተጠቃሚ ወኪል ራስጌን ለመተንተን ተግባራትን የሚያቀርበው UAParser.js ቤተ-መጽሐፍት በሳምንት ወደ 8 ሚሊዮን የሚጠጉ ውርዶች ያሉት ሲሆን ከ1200 በላይ ፕሮጀክቶች ላይ እንደ ጥገኝነት ያገለግላል። UAParser.js እንደ ማይክሮሶፍት፣ Amazon፣ Facebook፣ Slack፣ Discord፣ Mozilla፣ Apple፣ ProtonMail፣ Autodesk፣ Reddit፣ Vimeo፣ Uber፣ Dell፣ IBM፣ Siemens፣ Oracle፣ HP እና Verison ባሉ ኩባንያዎች ጥቅም ላይ ይውላል ተብሏል።
ጥቃቱ የተፈፀመው የፕሮጀክት ገንቢውን አካውንት በመጥለፍ ሲሆን ያልተለመደ የአይፈለጌ መልእክት ሞገድ በፖስታ ሳጥኑ ውስጥ ከወደቀ በኋላ የሆነ ችግር እንዳለ ተገነዘበ። የገንቢው መለያ እንዴት በትክክል እንደተጠለፈ አልተዘገበም። አጥቂዎቹ ተንኮል-አዘል ኮድ በማስገባት 0.7.29፣ 0.8.0 እና 1.0.0 ልቀቶችን ፈጥረዋል። በጥቂት ሰዓታት ውስጥ ገንቢዎቹ የፕሮጀክቱን ቁጥጥር መልሰው 0.7.30፣ 0.8.1 እና 1.0.1 ዝማኔዎችን ፈጥረዋል። ተንኮል አዘል ስሪቶች በNPM ማከማቻ ውስጥ እንደ ጥቅሎች ብቻ ታትመዋል። በ GitHub ላይ ያለው የፕሮጀክቱ የጂት ማከማቻ ምንም አልተነካም። ችግር ያለባቸውን ስሪቶች የጫኑ ሁሉም ተጠቃሚዎች የ jsextension ፋይልን በሊኑክስ/ማክኦኤስ እና jsextension.exe እና create.dll ፋይሎችን በዊንዶውስ ላይ ካገኙ ስርዓቱ የተበላሸ መሆኑን እንዲያስቡ ይመከራሉ።
የተጨመሩት ተንኮል አዘል ለውጦች በዋናው ፕሮጀክት ላይ መጠነ-ሰፊ ጥቃት ከማድረሳቸው በፊት ተግባራዊነትን ለመፈተሽ የተለቀቁ የሚመስሉ ቀደም ሲል በ UAParser.js clones ውስጥ ከታቀደው ጋር ተመሳሳይ ናቸው። የ jsextension executable ፋይል በተጠቃሚው ስርዓት ላይ ከውጫዊ አስተናጋጅ ተጭኖ ተጀምሯል፣ ይህም በተጠቃሚው መድረክ ላይ በመመስረት እና በሊኑክስ፣ ማክሮ እና ዊንዶውስ ላይ የሚደገፍ ስራ ተመርጧል። ለዊንዶውስ ፕላትፎርም ከ Monero cryptocurrency ማዕድን ፕሮግራም በተጨማሪ (የ XMRig ማዕድን ማውጫው ጥቅም ላይ ውሏል) አጥቂዎቹ የይለፍ ቃሎችን ለመጥለፍ እና ወደ ውጫዊ አስተናጋጅ ለመላክ የ create.dll ቤተ-መጽሐፍትን ማስተዋወቅ አደራጅተዋል።
የማውረጃው ኮድ ወደ preinstall.sh ፋይል ታክሏል፣ ይህም IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') ከሆነ [ -z" ን ያካትታል። $ IP" ] ... አውርዱ እና fi executableን ያሂዱ
ከኮዱ ላይ እንደሚታየው ስክሪፕቱ መጀመሪያ በ freegeoip.app አገልግሎት ውስጥ ያለውን የአይፒ አድራሻ አረጋግጧል እና ከሩሲያ፣ ዩክሬን፣ ቤላሩስ እና ካዛኪስታን ላሉ ተጠቃሚዎች ተንኮል አዘል መተግበሪያ አላስጀመረም።
ምንጭ: opennet.ru