Priča o uklanjanju iz NPM spremišta tri zlonamjerna paketa koji su kopirali kod biblioteke UAParser.js dobila je neočekivani nastavak - nepoznati napadači su preuzeli kontrolu nad nalogom autora projekta UAParser.js i pustili ažuriranja koja sadrže kod za krađu lozinki i rudarenje kriptovaluta.
Problem je u tome što biblioteka UAParser.js, koja nudi funkcije za raščlanjivanje HTTP zaglavlja User-Agent, ima oko 8 miliona preuzimanja nedeljno i koristi se kao zavisnost u više od 1200 projekata. Navodi se da se UAParser.js koristi u projektima kompanija kao što su Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP i Verison .
Napad je izveden hakovanjem naloga programera projekta, koji je shvatio da nešto nije u redu nakon što je neobičan talas neželjene pošte pao u njegovo poštansko sanduče. Kako je tačno nalog programera hakiran nije saopšteno. Napadači su kreirali izdanja 0.7.29, 0.8.0 i 1.0.0, uvodeći zlonamjerni kod u njih. U roku od nekoliko sati, programeri su povratili kontrolu nad projektom i kreirali ažuriranja 0.7.30, 0.8.1 i 1.0.1 kako bi riješili problem. Zlonamjerne verzije su objavljene samo kao paketi u NPM spremištu. Git repozitorijum projekta na GitHubu nije pogođen. Svim korisnicima koji su instalirali problematične verzije, ako pronađu datoteku jsextension na Linux/macOS-u, te datoteke jsextension.exe i create.dll na Windows-u, savjetujemo da razmotre sistem kompromitovan.
Dodane zlonamjerne promjene podsjećaju na promjene koje su prethodno predložene u klonovima UAParser.js, za koje se činilo da su pušteni da testiraju funkcionalnost prije pokretanja napada velikih razmjera na glavni projekat. Izvršna datoteka jsextension je preuzeta i pokrenuta na korisnikov sistem sa vanjskog hosta, koji je odabran ovisno o platformi korisnika i podržanom radu na Linuxu, macOS-u i Windowsu. Za Windows platformu, pored programa za rudarenje kriptovalute Monero (korišćen je rudar XMRig), napadači su organizovali i uvođenje biblioteke create.dll za presretanje lozinki i njihovo slanje na eksterni host.
Kôd za preuzimanje je dodan u datoteku preinstall.sh, u koju je umetnuti IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') ako je [ -z " $ IP" ] ... preuzmite i pokrenite izvršnu datoteku fi
Kao što se vidi iz koda, skripta je prvo provjerila IP adresu u servisu freegeoip.app i nije pokrenula zlonamjernu aplikaciju za korisnike iz Rusije, Ukrajine, Bjelorusije i Kazahstana.
izvor: opennet.ru