Příběh o odstranění tří škodlivých balíčků, které zkopírovaly kód knihovny UAParser.js, z úložiště NPM, se dočkal nečekaného pokračování – neznámí útočníci se zmocnili kontroly nad účtem autora projektu UAParser.js a vydali aktualizace obsahující kód pro krádeže hesel a těžba kryptoměn.
Problém je v tom, že knihovna UAParser.js, která nabízí funkce pro parsování HTTP hlavičky User-Agent, má asi 8 milionů stažení za týden a používá se jako závislost ve více než 1200 projektech. Uvádí se, že UAParser.js se používá v projektech společností jako Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP a Verison .
Útok byl proveden prostřednictvím hacknutí účtu vývojáře projektu, který si uvědomil, že něco není v pořádku poté, co se do jeho poštovní schránky dostala neobvyklá vlna spamu. Jak přesně byl účet vývojáře hacknut, není hlášeno. Útočníci vytvořili vydání 0.7.29, 0.8.0 a 1.0.0 a vnesli do nich škodlivý kód. Během několika hodin vývojáři znovu získali kontrolu nad projektem a vytvořili aktualizace 0.7.30, 0.8.1 a 1.0.1, aby problém vyřešili. Škodlivé verze byly publikovány pouze jako balíčky v úložišti NPM. Repozitář Git projektu na GitHubu nebyl ovlivněn. Všem uživatelům, kteří si nainstalovali problematické verze, pokud najdou soubor jsextension v systému Linux/macOS a soubory jsextension.exe a create.dll v systému Windows, se doporučuje zvážit ohrožení systému.
Přidané škodlivé změny připomínaly změny dříve navržené v klonech UAParser.js, které byly vydány za účelem testování funkčnosti před zahájením rozsáhlého útoku na hlavní projekt. Spustitelný soubor jsextension byl stažen a spuštěn do systému uživatele z externího hostitele, který byl vybrán v závislosti na platformě uživatele a podporované práci na Linuxu, macOS a Windows. Pro platformu Windows útočníci kromě programu pro těžbu kryptoměny Monero (byl použit těžař XMRig) zorganizovali i zavedení knihovny create.dll pro zachycování hesel a jejich odesílání na externí hostitele.
Kód ke stažení byl přidán do souboru preinstall.sh, ve kterém vložte IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ'), pokud [ -z " $ IP" ] ... stáhněte a spusťte spustitelný soubor fi
Jak je z kódu patrné, skript nejprve zkontroloval IP adresu ve službě freegeoip.app a nespustil škodlivou aplikaci pro uživatele z Ruska, Ukrajiny, Běloruska a Kazachstánu.
Zdroj: opennet.ru