Fhuair an sgeulachd mu bhith a’ toirt air falbh trì pasganan droch-rùnach bho stòr NPM a rinn leth-bhreac de chòd leabharlann UAParser.js leantainn ris nach robh dùil - ghlac luchd-ionnsaigh neo-aithnichte smachd air cunntas ùghdar pròiseact UAParser.js agus leig iad a-mach ùrachaidhean anns an robh còd airson a’ goid faclan-faire agus a’ mèinneadh cryptocurrencies.
Is e an duilgheadas a th’ ann gu bheil timcheall air 8 millean luchdachadh sìos san t-seachdain aig leabharlann UAParser.js, a tha a’ tabhann gnìomhan airson a bhith a’ parsadh bann-cinn User-Agent HTTP, agus air a chleachdadh mar eisimeileachd ann am barrachd air pròiseactan 1200. Thathas ag aithris gu bheil UAParser.js air a chleachdadh ann am pròiseactan de chompanaidhean leithid Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP agus Verison .
Chaidh an ionnsaigh a dhèanamh tro bhith a’ slaodadh cunntas leasaiche a’ phròiseict, a thuig gu robh rudeigin ceàrr às deidh tonn neo-àbhaisteach de spam a dhol a-steach don bhogsa puist aige. Chan eilear ag aithris air mar a chaidh cunntas an leasaiche a sheacadh. Chruthaich an luchd-ionnsaigh fiosan 0.7.29, 0.8.0 agus 1.0.0, a’ toirt a-steach còd droch-rùnach a-steach annta. Taobh a-staigh beagan uairean a thìde, fhuair an luchd-leasachaidh smachd air a 'phròiseact air ais agus chruthaich iad ùrachaidhean 0.7.30, 0.8.1 agus 1.0.1 gus an duilgheadas a rèiteachadh. Cha deach dreachan droch-rùnach fhoillseachadh ach mar phasganan ann an stòr NPM. Cha deach buaidh a thoirt air stòr Git a’ phròiseict air GitHub. Thathas a’ comhairleachadh a h-uile neach-cleachdaidh a tha air dreachan trioblaideach a chuir a-steach, ma lorgas iad am faidhle jsextension air Linux/macOS, agus na faidhlichean jsextension.exe agus create.dll air Windows, beachdachadh air an t-siostam ann an cunnart.
Bha na h-atharrachaidhean droch-rùnach a chaidh a chur ris mar chuimhneachan air atharrachaidhean a chaidh a mholadh roimhe seo ann an clones de UAParser.js, a bha coltach gun deach an leigeil ma sgaoil gus deuchainn a dhèanamh air gnìomhachd mus deach ionnsaigh mòr a chuir air bhog air a’ phrìomh phròiseact. Chaidh am faidhle so-ghnìomhaichte jsextension a luchdachadh sìos agus a chuir air bhog gu siostam an neach-cleachdaidh bho òstair a-muigh, a chaidh a thaghadh a rèir àrd-ùrlar an neach-cleachdaidh agus obair le taic air Linux, macOS agus Windows. Airson àrd-ùrlar Windows, a bharrachd air a’ phrògram airson mèinnearachd cryptocurrency Monero (chaidh am mèinnear XMRig a chleachdadh), chuir an luchd-ionnsaigh cuideachd air dòigh an leabharlann create.dll a thoirt a-steach gus faclan-faire a ghlacadh agus an cur gu aoigheachd a-muigh.
Chaidh an còd luchdaich sìos a chur ris an fhaidhle preinstall.sh, anns a bheil an cuir a-steach IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') ma tha [ -z" $ IP" ] ... luchdaich sìos agus ruith am faidhle so-ghnìomhaichte fi
Mar a chithear bhon chòd, rinn an sgriobt sgrùdadh an-toiseach air an t-seòladh IP anns an t-seirbheis freegeoip.app agus cha do chuir e air bhog tagradh droch-rùnach airson luchd-cleachdaidh às an Ruis, an Úcráin, Belarus agus Kazakhstan.
Source: fosgailtenet.ru