Priča o uklanjanju tri zlonamjerna paketa koji su kopirali kod biblioteke UAParser.js iz NPM repozitorija dobila je neočekivani nastavak - nepoznati napadači preuzeli su kontrolu nad računom autora projekta UAParser.js i objavili ažuriranja koja sadrže kod za krađu lozinki i rudarenje kriptovaluta.
Problem je u tome što biblioteka UAParser.js, koja nudi funkcije za analiziranje HTTP zaglavlja User-Agent, ima oko 8 milijuna preuzimanja tjedno i koristi se kao ovisnost u više od 1200 projekata. Navedeno je da se UAParser.js koristi u projektima kompanija kao što su Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP i Verison .
Napad je izveden hakiranjem računa developera projekta, koji je shvatio da nešto nije u redu nakon što je neobičan val neželjene pošte pao u njegov poštanski sandučić. Nije objavljeno kako je točno račun programera hakiran. Napadači su kreirali izdanja 0.7.29, 0.8.0 i 1.0.0, uvodeći u njih zlonamjerni kod. U roku od nekoliko sati programeri su vratili kontrolu nad projektom i izradili ažuriranja 0.7.30, 0.8.1 i 1.0.1 kako bi riješili problem. Zlonamjerne verzije objavljene su samo kao paketi u NPM repozitoriju. Git repozitorij projekta na GitHubu nije pogođen. Svim korisnicima koji su instalirali problematične verzije, ako pronađu datoteku jsextension na Linuxu/macOS-u, te datoteke jsextension.exe i create.dll na Windowsima, savjetujemo da smatraju da je sustav ugrožen.
Dodane zlonamjerne promjene podsjećale su na promjene koje su prethodno bile predložene u klonovima UAParser.js, za koje se činilo da su objavljene za testiranje funkcionalnosti prije pokretanja napada velikih razmjera na glavni projekt. Izvršna datoteka jsextension preuzeta je i pokrenuta na sustav korisnika s vanjskog hosta, koji je odabran ovisno o platformi korisnika i podržanom radu na Linuxu, macOS-u i Windowsima. Za Windows platformu, osim programa za rudarenje kriptovalute Monero (korišten je rudar XMRig), napadači su organizirali i uvođenje biblioteke create.dll za presretanje lozinki i njihovo slanje vanjskom hostu.
Kôd za preuzimanje dodan je u datoteku preinstall.sh, u kojoj je umetnut IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') if [ -z " $ IP" ] ... preuzmite i pokrenite izvršnu datoteku fi
Kako je vidljivo iz koda, skripta je prvo provjerila IP adresu u servisu freegeoip.app i nije pokrenula zlonamjernu aplikaciju za korisnike iz Rusije, Ukrajine, Bjelorusije i Kazahstana.
Izvor: opennet.ru