UAParser.js kitabxanasının kodunu NPM repozitoriyasından köçürən üç zərərli paketin silinməsi hekayəsi gözlənilməz davam etdi - naməlum təcavüzkarlar UAParser.js layihəsinin müəllifinin hesabına nəzarəti ələ keçirdilər və kodu ehtiva edən yeniləmələr buraxdılar. parolların oğurlanması və kriptovalyutaların çıxarılması.
Problem ondadır ki, HTTP User-Agent başlığını təhlil etmək üçün funksiyalar təklif edən UAParser.js kitabxanası həftədə təxminən 8 milyon yükləməyə malikdir və 1200-dən çox layihədə asılılıq kimi istifadə olunur. UAParser.js-in Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP və Verison kimi şirkətlər tərəfindən istifadə edildiyi iddia edilir.
Hücum, poçt qutusuna qeyri-adi spam dalğası düşdükdən sonra nəyinsə səhv olduğunu anlayan layihə tərtibatçısının hesabını sındırmaqla həyata keçirilib. Tərtibatçının hesabının dəqiq necə sındırıldığı barədə məlumat verilmir. Təcavüzkarlar onlara zərərli kod yeritməklə 0.7.29, 0.8.0 və 1.0.0 buraxılışları yaradıblar. Bir neçə saat ərzində tərtibatçılar layihə üzərində nəzarəti bərpa etdilər və problemi həll edən 0.7.30, 0.8.1 və 1.0.1 yeniləmələrini yaratdılar. Zərərli versiyalar yalnız NPM deposunda paketlər şəklində dərc edilmişdir. Layihənin GitHub-dakı Git deposuna təsir edilmədi. Problemli versiyaları quraşdırmış bütün istifadəçilərə, əgər Linux/macOS-da jsextension faylını, Windows-da isə jsextension.exe və create.dll fayllarını tapsalar, sistemin təhlükədə olduğunu hesab etmələri tövsiyə olunur.
Əlavə edilmiş zərərli dəyişikliklər daha əvvəl UAParser.js klonlarında təklif edilənlərə bənzəyirdi, görünür, əsas layihəyə genişmiqyaslı hücuma başlamazdan əvvəl funksionallığı yoxlamaq üçün buraxılıb. jsextension icra edilə bilən faylı istifadəçinin platformasından və Linux, macOS və Windows sistemlərində dəstəklənən işdən asılı olaraq seçilən xarici hostdan istifadəçi sisteminə yükləndi və işə salındı. Windows platforması üçün, Monero kriptovalyutası mədən proqramına əlavə olaraq (XMRig miner istifadə edilmişdir) təcavüzkarlar parolları tutmaq və onları xarici hosta göndərmək üçün create.dll kitabxanasının tətbiqini də təşkil etdilər.
Yükləmə kodu preinstall.sh faylına əlavə edildi, bu fayla IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') daxil edilmişdir, əgər [ -z " $ IP" ] ... fi faylını yükləyin və işə salın
Koddan göründüyü kimi, skript əvvəlcə freegeoip.app servisində IP ünvanını yoxlayıb və Rusiya, Ukrayna, Belarus və Qazaxıstandan olan istifadəçilər üçün zərərli proqram işə salmayıb.
Mənbə: opennet.ru