Fuair an scéal maidir le trí phacáiste mailíseach a chóipeáil cód na leabharlainne UAParser.js a bhaint as stór NPM leanúint ar aghaidh gan choinne - d'urghabh ionsaitheoirí anaithnid rialú ar chuntas údair an tionscadail UAParser.js agus d'eisigh siad nuashonruithe ina raibh cód le haghaidh pasfhocail a ghoid agus cryptocurrencies mianadóireachta.
Is í an fhadhb atá ann go bhfuil leabharlann UAParser.js, a thairgeann feidhmeanna chun an ceanntásc Úsáideoir-Agent HTTP a pharsáil, thart ar 8 milliún íoslódálacha in aghaidh na seachtaine agus úsáidtear é mar spleáchas i níos mó ná 1200 tionscadal. Luaitear go n-úsáidtear UAParser.js i dtionscadail cuideachtaí mar Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP agus Verison .
Rinneadh an t-ionsaí trí chuntas fhorbróra an tionscadail a hackáil, a thuig go raibh rud éigin mícheart nuair a thit tonn neamhghnách de thurscar isteach ina bhosca poist. Ní tuairiscítear cé chomh díreach agus a hackáladh cuntas an fhorbróra. Chruthaigh na hionsaitheoirí scaoileadh 0.7.29, 0.8.0 agus 1.0.0, ag tabhairt isteach cód mailíseach isteach iontu. Laistigh de chúpla uair an chloig, d'éirigh leis na forbróirí an tionscadal a rialú arís agus chruthaigh siad nuashonruithe 0.7.30, 0.8.1 agus 1.0.1 chun an fhadhb a réiteach. Níor foilsíodh leaganacha mailíseacha ach mar phacáistí i stór NPM. Ní dhearnadh aon difear do stór Git an tionscadail ar GitHub. Moltar do gach úsáideoir a bhfuil leaganacha fadhbacha suiteáilte acu, má aimsíonn siad an comhad jsextension ar Linux/macOS, agus na comhaid jsextension.exe agus create.dll ar Windows, a mheas go bhfuil an córas i mbaol.
Bhí na hathruithe mailíseacha a cuireadh leis i gcuimhne ar athruithe a moladh roimhe seo i gclónna UAParser.js, a bhí cosúil le scaoileadh chun feidhmiúlacht a thástáil sular seoladh ionsaí ar scála mór ar an bpríomhthionscadal. Rinneadh an comhad inrite jsextension a íoslódáil agus a sheoladh ar chóras an úsáideora ó óstach seachtrach, a roghnaíodh ag brath ar ardán an úsáideora agus obair thacaithe ar Linux, macOS agus Windows. Maidir leis an ardán Windows, chomh maith leis an gclár do mhianadóireacht cryptocurrency Monero (úsáideadh an miner XMRig), d'eagraigh na hionsaitheoirí freisin an leabharlann create.dll a thabhairt isteach chun pasfhocail a thascradh agus iad a sheoladh chuig óstach seachtrach.
Cuireadh an cód íoslódála leis an gcomhad preinstall.sh, ina gcuirtear isteach IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') más rud é [ -z " $ IP" ] ... íoslódáil agus rith an comhad inrite fi
Mar is léir ón gcód, rinne an script seiceáil ar an seoladh IP ar dtús sa tseirbhís freegeoip.app agus níor sheol sé feidhmchlár mailíseach d’úsáideoirí ón Rúis, ón Úcráin, ón Bhealarúis agus ón gCasacstáin.
Foinse: oscailtenet.ru