A storia di a rimuzione da u repositoriu NPM di trè pacchetti maliziusi chì copianu u codice di a biblioteca UAParser.js hà ricivutu una continuazione inespettata - attaccanti scunnisciuti piglianu u cuntrollu di u contu di l'autore di u prughjettu UAParser.js è liberanu aghjurnamenti chì cuntenenu codice per arrubà e password è mining cryptocurrencies.
U prublema hè chì a biblioteca UAParser.js, chì offre funzioni per analizà l'intestazione HTTP User-Agent, hà circa 8 milioni di scaricamentu à settimana è hè utilizatu com'è dependenza in più di 1200 prughjetti. Hè dichjaratu chì UAParser.js hè adupratu in prughjetti di cumpagnie cum'è Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP è Verison. .
L'attaccu hè statu realizatu attraversu u pirate di u cuntu di u sviluppatore di u prughjettu, chì hà capitu chì qualcosa era sbagliatu dopu chì una onda inusual di spam hè cascata in a so mailbox. Cumu esattamente u contu di u sviluppatore hè statu piratatu ùn hè micca infurmatu. L'attaccanti anu creatu e versioni 0.7.29, 0.8.0 è 1.0.0, intruducendu codice maliziusu in elli. In pocu ore, i sviluppatori ripigliò u cuntrollu di u prugettu è creanu aghjurnamenti 0.7.30, 0.8.1 è 1.0.1 per risolve u prublema. E versioni maliziusi sò stati publicati solu cum'è pacchetti in u repositoriu NPM. U repositoriu Git di u prughjettu nantu à GitHub ùn hè micca affettatu. Tutti l'utilizatori chì anu installatu versioni problematiche, se trovanu u schedariu jsextension in Linux/macOS, è i schedari jsextension.exe è create.dll in Windows, sò cunsigliati di cunsiderà u sistema cumprumissu.
I cambiamenti maliziusi aghjuntu eranu reminiscents di cambiamenti pruposti prima in clones di UAParser.js, chì parevanu esse liberati per pruvà a funziunalità prima di lancià un attaccu à grande scala à u prughjettu principale. U schedariu eseguibile jsextension hè statu telecaricatu è lanciatu nantu à u sistema di l'utilizatori da un òspite esternu, chì hè statu sceltu secondu a piattaforma di l'utilizatore è u travagliu supportatu in Linux, macOS è Windows. Per a piattaforma Windows, in più di u prugramma per a minazione di a criptografia di Monero (u minatore XMRig hè stata utilizata), l'attaccanti anu ancu urganizatu l'intruduzioni di a libreria create.dll per intercepte password è mandà à un òspite esternu.
U codice di scaricamentu hè statu aghjuntu à u schedariu preinstall.sh, in quale l'inseritu IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') se [ -z " $ IP" ] ... scaricate è eseguite u schedariu eseguibile fi
Comu pò esse vistu da u codice, u script hà verificatu prima l'indirizzu IP in u serviziu freegeoip.app è ùn hà micca lanciatu una applicazione maliciosa per l'utilizatori di Russia, Ucraina, Bielorussia è Kazakistan.
Source: opennet.ru