Derbyniodd hanes tynnu tri phecyn maleisus o ystorfa NPM a oedd yn copïo cod llyfrgell UAParser.js barhad annisgwyl - fe wnaeth ymosodwyr anhysbys atafaelu rheolaeth ar gyfrif awdur y prosiect UAParser.js a rhyddhau diweddariadau yn cynnwys cod ar gyfer dwyn cyfrineiriau a mwyngloddio arian cyfred digidol.
Y broblem yw bod gan lyfrgell UAParser.js, sy'n cynnig swyddogaethau ar gyfer dosrannu'r pennawd HTTP Asiant Defnyddiwr, tua 8 miliwn o lawrlwythiadau yr wythnos ac fe'i defnyddir fel dibyniaeth mewn mwy na 1200 o brosiectau. Dywedir bod UAParser.js yn cael ei ddefnyddio mewn prosiectau gan gwmnïau fel Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP a Verison .
Cynhaliwyd yr ymosodiad trwy hacio cyfrif datblygwr y prosiect, a sylweddolodd fod rhywbeth o'i le ar ôl i don anarferol o sbam syrthio i'w flwch post. Ni adroddir sut yn union y cafodd cyfrif y datblygwr ei hacio. Creodd yr ymosodwyr ddatganiadau 0.7.29, 0.8.0 a 1.0.0, gan gyflwyno cod maleisus iddynt. O fewn ychydig oriau, llwyddodd y datblygwyr i adennill rheolaeth ar y prosiect a chreu diweddariadau 0.7.30, 0.8.1 a 1.0.1 i ddatrys y broblem. Cyhoeddwyd fersiynau maleisus fel pecynnau yn unig yn ystorfa'r NPM. Ni effeithiwyd ar ystorfa Git y prosiect ar GitHub. Cynghorir pob defnyddiwr sydd wedi gosod fersiynau problemus, os ydynt yn dod o hyd i'r ffeil jsextension ar Linux/macOS, a'r ffeiliau jsextension.exe a create.dll ar Windows, i ystyried bod y system dan fygythiad.
Roedd y newidiadau maleisus a ychwanegwyd yn atgoffa rhywun o newidiadau a gynigiwyd yn flaenorol mewn clonau o UAParser.js, a oedd yn ymddangos i gael eu rhyddhau i brofi ymarferoldeb cyn lansio ymosodiad ar raddfa fawr ar y prif brosiect. Cafodd y ffeil gweithredadwy jsextension ei lawrlwytho a'i lansio i system y defnyddiwr gan westeiwr allanol, a ddewiswyd yn dibynnu ar blatfform y defnyddiwr a gwaith â chymorth ar Linux, macOS a Windows. Ar gyfer y llwyfan Windows, yn ychwanegol at y rhaglen ar gyfer mwyngloddio y cryptocurrency Monero (defnyddiwyd y glöwr XMRig), trefnodd yr ymosodwyr hefyd gyflwyno'r llyfrgell create.dll i ryng-gipio cyfrineiriau a'u hanfon at westeiwr allanol.
Ychwanegwyd y cod lawrlwytho at y ffeil preinstall.sh, lle mae'r mewnosod IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') os [ -z " $ IP" ] ... lawrlwytho a rhedeg y ffeil gweithredadwy fi
Fel y gwelir o'r cod, fe wnaeth y sgript wirio'r cyfeiriad IP yn gyntaf yn y gwasanaeth freegeoip.app ac ni lansiodd gais maleisus ar gyfer defnyddwyr o Rwsia, Wcráin, Belarus a Kazakhstan.
Ffynhonnell: opennet.ru