UAParser.js liburutegiko kodea kopiatzen zuten NPM biltegitik hiru pakete gaizto kentzearen istorioak ustekabeko jarraipena jaso zuen - erasotzaile ezezagunek UAParser.js proiektuaren egilearen kontuaren kontrola hartu zuten eta eguneraketak kaleratu zituzten kodea duten. pasahitzak lapurtzea eta kripto-moneta meatzaritza.
Arazoa da UAParser.js liburutegiak, User-Agent HTTP goiburua analizatzeko funtzioak eskaintzen dituena, astean 8 milioi deskarga inguru dituela eta 1200 proiektu baino gehiagotan mendekotasun gisa erabiltzen dela. UAParser.js Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP eta Verison bezalako enpresen proiektuetan erabiltzen dela adierazten da. .
Erasoa proiektuaren garatzailearen kontuaren hackearen bidez gauzatu zen, eta zerbait gaizki zegoela konturatu zen ezohiko spam olatu bat bere postontzira erori ostean. Garatzailearen kontua nola pirateatu zen zehazki ez da jakinarazi. Erasotzaileek 0.7.29, 0.8.0 eta 1.0.0 bertsioak sortu zituzten, kode gaiztoa sartuz. Ordu gutxiren buruan, garatzaileek proiektuaren kontrola berreskuratu zuten eta 0.7.30, 0.8.1 eta 1.0.1 eguneraketak sortu zituzten arazoa konpontzeko. Bertsio gaiztoak pakete gisa soilik argitaratu ziren NPM biltegian. Proiektuaren Git biltegia GitHub-en ez zen eraginik izan. Bertsio arazotsuak instalatu dituzten erabiltzaile guztiei, Linux/macOS-en jsextension fitxategia eta Windows-en jsextension.exe eta create.dll fitxategiak aurkitzen badituzte, sistema arriskuan jartzea gomendatzen zaie.
Gehitutako aldaketa gaiztoek lehenago UAParser.js-en klonetan proposatutako aldaketak gogorarazten zituzten, funtzionalitateak probatzeko kaleratu zirela zirudien proiektu nagusiari eskala handiko erasoa hasi aurretik. jsextension fitxategi exekutagarria deskargatu eta erabiltzailearen sistemara abiarazi zen kanpoko ostalari batetik, erabiltzailearen plataformaren eta Linux, macOS eta Windows-en onartzen den lanaren arabera hautatu zen. Windows plataformarako, Monero kriptomoneta meatzaritza programaz gain (XMRig meatzaria erabili zen), erasotzaileek create.dll liburutegiaren sarrera ere antolatu zuten pasahitzak atzemateko eta kanpoko ostalari batera bidaltzeko.
Deskarga-kodea preinstall.sh fitxategira gehitu da, eta bertan txertatu IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') bada [ -z " $ IP" ] ... deskargatu eta exekutatu fi fitxategi exekutagarria
Kodean ikus daitekeen bezala, scriptak lehenik IP helbidea egiaztatu zuen freegeoip.app zerbitzuan eta ez zuen abian jarri Errusia, Ukraina, Bielorrusia eta Kazakhstango erabiltzaileentzako aplikazio gaiztorik.
Iturria: opennet.ru