Ang istorya sa pagtangtang gikan sa NPM repository sa tulo ka malisyosong mga pakete nga mikopya sa code sa UAParser.js library nakadawat sa usa ka wala damha nga pagpadayon - wala damha nga mga tig-atake mikuha sa kontrol sa account sa tagsulat sa UAParser.js nga proyekto ug nagpagawas sa mga update nga adunay code alang sa pagpangawat sa mga password ug pagmina sa mga cryptocurrencies.
Ang problema mao nga ang librarya sa UAParser.js, nga nagtanyag mga gimbuhaton alang sa pag-parse sa header sa User-Agent HTTP, adunay mga 8 milyon nga pag-download matag semana ug gigamit ingon usa ka pagsalig sa labaw sa 1200 nga mga proyekto. Giingon nga ang UAParser.js gigamit sa mga proyekto sa mga kompanya sama sa Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP ug Verison .
Ang pag-atake gihimo pinaagi sa pag-hack sa account sa developer sa proyekto, kinsa nakaamgo nga adunay sayup human ang usa ka talagsaon nga balud sa spam nahulog sa iyang mailbox. Kung giunsa pag-hack ang account sa developer wala gitaho. Ang mga tig-atake naghimo og mga pagpagawas sa 0.7.29, 0.8.0 ug 1.0.0, nga nagpaila sa malisyoso nga code ngadto kanila. Sulod sa pipila ka oras, nabawi sa mga developer ang kontrol sa proyekto ug nagmugna og mga update 0.7.30, 0.8.1 ug 1.0.1 aron ayuhon ang problema. Ang malisyosong mga bersyon gimantala lamang isip mga pakete sa NPM repository. Ang Git repository sa proyekto sa GitHub wala maapektuhan. Ang tanan nga mga tiggamit nga nag-install sa mga problema nga bersyon, kung ilang makit-an ang jsextension file sa Linux/macOS, ug ang jsextension.exe ug create.dll file sa Windows, gitambagan nga tagdon ang sistema nga nakompromiso.
Ang malisyosong mga pagbag-o nga gidugang nagpahinumdum sa mga pagbag-o nga gisugyot kaniadto sa mga clone sa UAParser.js, nga nagpakita nga gipagawas aron sulayan ang pagpaandar sa wala pa maglunsad og usa ka dako nga pag-atake sa nag-unang proyekto. Ang jsextension executable file gi-download ug gilusad ngadto sa sistema sa user gikan sa external host, nga gipili depende sa plataporma sa user ug gisuportahan nga trabaho sa Linux, macOS ug Windows. Alang sa plataporma sa Windows, dugang pa sa programa sa pagmina sa Monero cryptocurrency (ang XMRig minero ang gigamit), gi-organisar usab sa mga tig-atake ang pagpaila sa create.dll library aron ma-intercept ang mga password ug ipadala kini sa external host.
Ang download code gidugang ngadto sa preinstall.sh file, diin ang insert IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') kon [ -z " $ IP" ] ... i-download ug ipadagan ang executable file fi
Sama sa makita sa code, ang script una nga nagsusi sa IP address sa freegeoip.app nga serbisyo ug wala maglunsad og malisyoso nga aplikasyon alang sa mga tiggamit gikan sa Russia, Ukraine, Belarus ug Kazakhstan.
Source: opennet.ru