A historia da eliminación de tres paquetes maliciosos do repositorio de NPM que copiaron o código da biblioteca UAParser.js recibiu unha continuación inesperada: atacantes descoñecidos tomaron o control da conta do autor do proxecto UAParser.js e lanzaron actualizacións que conteñen código para roubando contrasinais e minando criptomoedas.
O problema é que a biblioteca UAParser.js, que ofrece funcións para analizar a cabeceira HTTP User-Agent, ten uns 8 millóns de descargas por semana e úsase como dependencia en máis de 1200 proxectos. Indícase que UAParser.js úsase en proxectos de empresas como Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP e Verison. .
O ataque levouse a cabo mediante o hackeo da conta do desenvolvedor do proxecto, quen se decatou de que algo andaba mal despois de que unha onda inusual de spam caese na súa caixa de correo. Non se informa de como se pirateou exactamente a conta do programador. Os atacantes crearon as versións 0.7.29, 0.8.0 e 1.0.0, introducindo neles código malicioso. En poucas horas, os desenvolvedores recuperaron o control do proxecto e crearon actualizacións 0.7.30, 0.8.1 e 1.0.1 para solucionar o problema. As versións maliciosas foron publicadas só como paquetes no repositorio de NPM. O repositorio de Git do proxecto en GitHub non se viu afectado. Recoméndase a todos os usuarios que instalaron versións problemáticas, se atopan o ficheiro jsextension en Linux/macOS e os ficheiros jsextension.exe e create.dll en Windows, que consideren que o sistema está comprometido.
Os cambios maliciosos engadidos lembraban os cambios propostos anteriormente en clons de UAParser.js, que parecían ser liberados para probar a funcionalidade antes de lanzar un ataque a gran escala ao proxecto principal. O ficheiro executable jsextension descargouse e lanzouse ao sistema do usuario desde un host externo, que se seleccionou dependendo da plataforma do usuario e do traballo compatible con Linux, macOS e Windows. Para a plataforma Windows, ademais do programa para minar a moeda criptográfica Monero (usouse o mineiro XMRig), os atacantes tamén organizaron a introdución da biblioteca create.dll para interceptar contrasinais e envialos a un servidor externo.
O código de descarga engadiuse ao ficheiro preinstall.sh, no que a inserción IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') se [ -z " $ IP" ] ... descarga e executa o ficheiro executable fi
Como se pode ver no código, o script comprobou primeiro o enderezo IP no servizo freegeoip.app e non lanzou unha aplicación maliciosa para usuarios de Rusia, Ucraína, Bielorrusia e Casaquistán.
Fonte: opennet.ru