Loo UAParser.js teegi koodi kopeerinud kolme pahatahtliku paketi NPM-i hoidlast eemaldamise lugu sai ootamatu jätku - tundmatud ründajad võtsid kontrolli projekti UAParser.js autori konto üle ja andsid välja uuendused, mis sisaldavad koodi paroolide varastamine ja krüptovaluutade kaevandamine.
Probleem on selles, et UAParser.js teegil, mis pakub funktsioone User-Agent HTTP päise sõelumiseks, on nädalas umbes 8 miljonit allalaadimist ja seda kasutatakse sõltuvusena enam kui 1200 projektis. Väidetakse, et UAParser.js-i kasutatakse selliste ettevõtete projektides nagu Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP ja Verison .
Rünnak toimus projektiarendaja konto häkkimise kaudu, kes sai aru, et midagi on valesti pärast seda, kui tema postkasti langes ebatavaline rämpspostilaine. Kuidas täpselt arendaja kontole sisse häkiti, seda ei teata. Ründajad lõid väljalasked 0.7.29, 0.8.0 ja 1.0.0, lisades neisse pahatahtlikku koodi. Mõne tunni jooksul saavutasid arendajad projekti üle kontrolli ja lõid probleemi lahendamiseks värskendused 0.7.30, 0.8.1 ja 1.0.1. Pahatahtlikud versioonid avaldati ainult pakettidena NPM-i hoidlas. Projekti Git-hoidlat GitHubis see ei mõjutanud. Kõigil kasutajatel, kes on installinud probleemsed versioonid, kui nad leiavad jsextension faili Linuxis/macOS-is ning failid jsextension.exe ja create.dll Windowsis, soovitatakse pidada süsteemi ohustatud.
Lisatud pahatahtlikud muudatused meenutasid varem UAParser.js-i kloonides pakutud muudatusi, mis näisid olevat välja lastud funktsionaalsuse testimiseks enne põhiprojekti vastu ulatusliku rünnaku käivitamist. Jextensioni käivitatav fail laaditi alla ja käivitati kasutaja süsteemi välisest hostist, mis valiti sõltuvalt kasutaja platvormist ja toetatud tööst Linuxis, macOS-is ja Windowsis. Windowsi platvormi jaoks korraldasid ründajad lisaks Monero krüptovaluuta kaevandamise programmile (kasutati kaevurit XMRig) ka create.dll teegi kasutuselevõttu, et paroolid kinni püüda ja need välisele hostile saata.
Allalaadimiskood lisati faili preinstall.sh, milles sisestatakse IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ'), kui [ -z " $ IP" ] ... laadige alla ja käivitage käivitatav fail fi
Nagu koodist näha, kontrollis skript esmalt IP-aadressi teenuses freegeoip.app ega käivitanud pahatahtlikku rakendust Venemaalt, Ukrainast, Valgevenest ja Kasahstanist pärit kasutajatele.
Allikas: opennet.ru