It ferhaal fan it fuortheljen fan 'e NPM-repository fan trije kweade pakketten dy't de koade fan' e UAParser.js-bibleteek kopieare, krige in ûnferwachte fuortsetting - ûnbekende oanfallers namen kontrôle oer it akkount fan 'e skriuwer fan it UAParser.js-projekt en publisearren updates mei koade foar stelle wachtwurden en myn cryptocurrencies.
It probleem is dat de biblioteek UAParser.js, dy't funksjes biedt foar it parsearjen fan de User-Agent HTTP-header, hat sawat 8 miljoen downloads per wike en wurdt brûkt as ôfhinklikens yn mear as 1200 projekten. It wurdt oanjûn dat UAParser.js wurdt brûkt yn projekten fan bedriuwen lykas Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP en Verison .
De oanfal waard útfierd troch it hacken fan it akkount fan 'e projektûntwikkelder, dy't realisearre dat der wat mis wie nei't in ûngewoane welle fan spam yn syn postfak foel. Hoe krekt it akkount fan 'e ûntwikkelder hacked is, wurdt net rapportearre. De oanfallers makke releases 0.7.29, 0.8.0 en 1.0.0, yntrodusearje kweade koade yn harren. Binnen in pear oeren krigen de ûntwikkelders de kontrôle oer it projekt en makken updates 0.7.30, 0.8.1 en 1.0.1 om it probleem op te lossen. Kweaze ferzjes waarden allinich publisearre as pakketten yn it NPM-repository. It Git-repository fan it projekt op GitHub waard net beynfloede. Alle brûkers dy't problematyske ferzjes ynstalleare hawwe, as se it jsextension-bestân fine op Linux/macOS, en de jsextension.exe- en create.dll-bestannen op Windows, wurdt advisearre om it systeem kompromittearre te beskôgjen.
De tafoegde kweade wizigingen diene tinken oan feroaringen dy't earder foarsteld binne yn klonen fan UAParser.js, dy't ferskynden frijlitten wurde om funksjonaliteit te testen foardat in grutskalige oanfal op it haadprojekt lansearre waard. It útfierbere bestân fan jsextension waard ynladen en lansearre op it systeem fan 'e brûker fan in eksterne host, dy't waard selektearre ôfhinklik fan it platfoarm fan 'e brûker en stipe wurk op Linux, macOS en Windows. Foar it Windows-platfoarm, neist it programma foar mining fan 'e Monero-krypto-faluta (de XMRig-miner waard brûkt), organisearre de oanfallers ek de ynfiering fan' e create.dll-bibleteek om wachtwurden te ûnderskeppen en te stjoeren nei in eksterne host.
De ynlaadkoade is tafoege oan it preinstall.sh-bestân, wêryn it ynfoegje IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') as [ -z " $ IP" ] ... download en fier it útfierbere bestân fi
Sa't te sjen is út 'e koade, kontrolearre it skript earst it IP-adres yn' e freegeoip.app-tsjinst en lansearre gjin kweade applikaasje foar brûkers út Ruslân, Oekraïne, Wyt-Ruslân en Kazachstan.
Boarne: opennet.ru