La història de l'eliminació de tres paquets maliciosos que van copiar el codi de la biblioteca UAParser.js del dipòsit NPM va rebre una continuació inesperada: atacants desconeguts van prendre el control del compte de l'autor del projecte UAParser.js i van publicar actualitzacions que contenien codi per a robar contrasenyes i explotar criptomonedes.
El problema és que la biblioteca UAParser.js, que ofereix funcions per analitzar la capçalera HTTP User-Agent, té uns 8 milions de descàrregues per setmana i s'utilitza com a dependència en més de 1200 projectes. Es diu que UAParser.js és utilitzat per empreses com Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP i Verison.
L'atac es va dur a terme piratejant el compte del desenvolupador del projecte, que es va adonar que alguna cosa estava malament després que una inusual onada de correu brossa caigués a la seva bústia. No s'informa de com es va piratejar exactament el compte del desenvolupador. Els atacants van crear les versions 0.7.29, 0.8.0 i 1.0.0 injectant-hi codi maliciós. En poques hores, els desenvolupadors van recuperar el control del projecte i van generar actualitzacions 0.7.30, 0.8.1 i 1.0.1 per solucionar el problema. Les versions malicioses només es van publicar com a paquets al repositori NPM. El repositori Git del projecte a GitHub no es va veure afectat. Es recomana a tots els usuaris que hagin instal·lat versions problemàtiques, si troben el fitxer jsextension a Linux / macOS i els fitxers jsextension.exe i create.dll a Windows, que considerin el sistema compromès.
Els canvis maliciosos afegits eren similars als proposats anteriorment als clons UAParser.js, que sembla que s'han publicat per provar la funcionalitat abans de llançar un atac a gran escala al projecte principal. El fitxer executable jsextension es va carregar i llançar al sistema de l'usuari des d'un amfitrió extern, que es va seleccionar en funció de la plataforma de l'usuari i del treball compatible amb Linux, macOS i Windows. Per a la plataforma Windows, a més del programa de mineria de criptomonedes Monero (es va utilitzar el miner XMRig), els atacants també van organitzar la introducció de la biblioteca create.dll per interceptar contrasenyes i enviar-les a un host extern.
El codi de descàrrega es va afegir al fitxer preinstall.sh, que incloïa la inserció IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') si [ -z " $ IP" ] ... descarregueu i executeu l'executable fi
Com es pot veure al codi, l'script va comprovar primer l'adreça IP al servei freegeoip.app i no va llançar una aplicació maliciosa per a usuaris de Rússia, Ucraïna, Bielorússia i Kazakhstan.
Font: opennet.ru