Historien om fjernelse af tre ondsindede pakker, der kopierede koden til UAParser.js-biblioteket fra NPM-lageret, fik en uventet fortsættelse - ukendte angribere tog kontrol over kontoen til forfatteren af UAParser.js-projektet og udgav opdateringer indeholdende kode for stjæle adgangskoder og udvinde kryptovalutaer.
Problemet er, at UAParser.js-biblioteket, som tilbyder funktioner til at parse HTTP User-Agent-headeren, har omkring 8 millioner downloads om ugen og bruges som en afhængighed i over 1200 projekter. UAParser.js hævdes at blive brugt af virksomheder som Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP og Verison.
Angrebet blev udført ved at hacke sig ind på projektudviklerens konto, som indså, at der var noget galt, efter at en usædvanlig bølge af spam faldt ind i hans postkasse. Hvordan udviklerens konto præcist blev hacket, rapporteres ikke. Angriberne oprettede udgivelser 0.7.29, 0.8.0 og 1.0.0 ved at injicere ondsindet kode i dem. Inden for et par timer genvandt udviklerne kontrollen over projektet og genererede opdateringer 0.7.30, 0.8.1 og 1.0.1, der fikser problemet. Ondsindede versioner blev kun offentliggjort som pakker i NPM-lageret. Projektets Git-lager på GitHub blev ikke påvirket. Alle brugere, der har installeret problematiske versioner, rådes til at betragte systemet som kompromitteret, hvis de finder jsextension-filen på Linux/macOS og jsextension.exe og create.dll-filerne på Windows.
De ondsindede ændringer, der blev tilføjet, svarede til dem, der tidligere er foreslået i UAParser.js-kloner, som ser ud til at være blevet frigivet for at teste funktionalitet, før de lancerede et storstilet angreb på hovedprojektet. Den eksekverbare fil jsextension blev indlæst og lanceret på brugerens system fra en ekstern vært, som blev valgt afhængigt af brugerens platform og understøttede arbejde på Linux, macOS og Windows. Til Windows-platformen organiserede angriberne udover Monero-kryptovaluta-mineprogrammet (XMRig-minearbejderen) også introduktionen af create.dll-biblioteket for at opsnappe adgangskoder og sende dem til en ekstern vært.
Downloadkoden blev tilføjet til preinstall.sh-filen, som inkluderede indsættelsen IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') hvis [ -z " $ IP" ] ... download og kør den eksekverbare fi
Som det kan ses af koden, tjekkede scriptet først IP-adressen i freegeoip.app-tjenesten og lancerede ikke en ondsindet applikation til brugere fra Rusland, Ukraine, Hviderusland og Kasakhstan.
Kilde: opennet.ru