Tarina kolmen UAParser.js-kirjaston koodin kopioineen haitallisen paketin poistamisesta NPM-arkistosta sai odottamattoman jatkon - tuntemattomat hyökkääjät valtasivat UAParser.js-projektin tekijän tilin ja julkaisivat päivitykset, jotka sisälsivät koodin salasanojen varastaminen ja kryptovaluuttojen louhinta.
Ongelmana on, että UAParser.js-kirjastolla, joka tarjoaa toimintoja User-Agent HTTP-otsikon jäsentämiseen, on noin 8 miljoonaa latausta viikossa ja sitä käytetään riippuvuutena yli 1200 XNUMX projektissa. Todetaan, että UAParser.js:ää käytetään sellaisten yritysten projekteissa kuten Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP ja Verison .
Hyökkäys toteutettiin hakkeroimalla projektin kehittäjän tili, joka huomasi, että jotain oli vialla, kun epätavallinen roskapostiaalto putosi hänen postilaatikkoonsa. Kuinka tarkasti kehittäjän tili hakkeroitiin, ei raportoida. Hyökkääjät loivat julkaisut 0.7.29, 0.8.0 ja 1.0.0 ja lisäsivät niihin haitallista koodia. Muutamassa tunnissa kehittäjät saivat projektin hallintaansa ja loivat päivitykset 0.7.30, 0.8.1 ja 1.0.1 korjatakseen ongelman. Haitalliset versiot julkaistiin vain paketteina NPM-tietovarastoon. Tämä ei vaikuttanut projektin Git-tietovarastoon GitHubissa. Kaikkia käyttäjiä, jotka ovat asentaneet ongelmallisia versioita, jos he löytävät jextension-tiedoston Linuxissa/macOS:ssä ja jsextension.exe- ja create.dll-tiedostot Windowsissa, kehotetaan pitämään järjestelmän vaarantuneena.
Lisätyt haitalliset muutokset muistuttivat aiemmin UAParser.js:n klooneissa ehdotettuja muutoksia, jotka näyttivät julkaistun toiminnallisuuden testaamiseksi ennen laajan hyökkäyksen käynnistämistä pääprojektia vastaan. Suoritettava jextension-tiedosto ladattiin ja käynnistettiin käyttäjän järjestelmään ulkoiselta isännältä, joka valittiin riippuen käyttäjän alustasta ja tuesta työstä Linuxissa, macOS:ssä ja Windowsissa. Windows-alustalle hyökkääjät järjestivät Moneron kryptovaluutan louhintaohjelman (käytettiin XMRig-kaivosohjelmaa) lisäksi myös create.dll-kirjaston käyttöönoton salasanojen sieppaamiseksi ja lähettämiseksi ulkoiselle isännälle.
Latauskoodi lisättiin preinstall.sh-tiedostoon, jossa lisäys IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') jos [ -z " $ IP" ] ... lataa ja suorita suoritettava tiedosto fi
Kuten koodista voidaan nähdä, komentosarja tarkisti ensin IP-osoitteen freegeoip.app-palvelussa eikä käynnistänyt haitallista sovellusta käyttäjille Venäjältä, Ukrainasta, Valko-Venäjältä ja Kazakstanista.
Lähde: opennet.ru