La rakonto pri la forigo de la NPM-deponejo de tri malicaj pakaĵoj, kiuj kopiis la kodon de la biblioteko UAParser.js, ricevis neatenditan daŭrigon - nekonataj atakantoj prenis kontrolon de la konto de la aŭtoro de la projekto UAParser.js kaj publikigis ĝisdatigojn enhavantajn kodon por ŝtelado de pasvortoj kaj minado de kriptaj moneroj.
La problemo estas, ke la biblioteko UAParser.js, kiu ofertas funkciojn por analizi la Uzanto-Agent HTTP-kapo, havas ĉirkaŭ 8 milionojn da elŝutoj semajne kaj estas uzata kiel dependeco en pli ol 1200 projektoj. Estas deklarite, ke UAParser.js estas uzata en projektoj de tiaj kompanioj kiel Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP kaj Verison. .
La atako estis efektivigita per la hakado de la konto de la projektisto, kiu rimarkis, ke io misas post kiam nekutima ondo de spamo falis en lian leterkeston. Kiel ĝuste la konto de la programisto estis hakita ne estas raportita. La atakantoj kreis eldonojn 0.7.29, 0.8.0 kaj 1.0.0, enkondukante malican kodon en ilin. Ene de kelkaj horoj, la programistoj reakiris la kontrolon de la projekto kaj kreis ĝisdatigojn 0.7.30, 0.8.1 kaj 1.0.1 por ripari la problemon. Malicaj versioj estis publikigitaj nur kiel pakaĵoj en la NPM-deponejo. La Git-deponejo de la projekto sur GitHub ne estis tuŝita. Ĉiuj uzantoj, kiuj instalis problemajn versiojn, se ili trovas la jsextension-dosieron en Linukso/macOS, kaj la jsextension.exe kaj create.dll-dosierojn en Vindozo, konsilas konsideri la sistemon kompromitita.
La malicaj ŝanĝoj aldonitaj memorigis ŝanĝojn antaŭe proponitajn en klonoj de UAParser.js, kiuj ŝajnis esti liberigitaj por testi funkciecon antaŭ lanĉi grandskalan atakon kontraŭ la ĉefa projekto. La rulebla dosiero jsextension estis elŝutita kaj lanĉita sur la sistemon de la uzanto de ekstera gastiganto, kiu estis elektita depende de la platformo de la uzanto kaj subtenita laboro sur Linukso, macOS kaj Vindozo. Por la Vindoza platformo, krom la programo por minado de la kripta monero Monero (la ministo XMRig estis uzata), la atakantoj ankaŭ organizis la enkondukon de la biblioteko create.dll por kapti pasvortojn kaj sendi ilin al ekstera gastiganto.
La elŝuta kodo estis aldonita al la preinstall.sh-dosiero, en kiu la enmeta IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') se [ -z " $ IP" ] ... elŝutu kaj rulu la plenumeblan dosieron fi
Kiel videblas el la kodo, la skripto unue kontrolis la IP-adreson en la servo freegeoip.app kaj ne lanĉis malican aplikaĵon por uzantoj el Rusio, Ukrainio, Belorusio kaj Kazaĥio.
fonto: opennet.ru