Istwa a nan retire twa pakè move ki kopye kòd la nan bibliyotèk la UAParser.js soti nan repozitwa a NPM te resevwa yon kontinyasyon inatandi - atakè enkoni te sezi kontwòl sou kont otè a nan pwojè UAParser.js ak lage mizajou ki gen kòd pou vòlè modpas ak min kriptografik lajan.
Pwoblèm lan se ke bibliyotèk UAParser.js la, ki ofri fonksyon pou analize HTTP User-Agent header, gen apeprè 8 milyon telechajman pou chak semèn epi li itilize kòm yon depandans nan plis pase 1200 pwojè. UAParser.js te reklame ke konpayi tankou Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP, ak Verison.
Te atak la te pote soti nan Hacking nan kont la nan pwomotè pwojè a, ki moun ki reyalize yon bagay te mal apre yon vag etranj nan Spam tonbe nan bwat lèt li. Ki jan egzakteman kont pwomotè a te rache pa rapòte. Atakè yo te kreye degaje 0.7.29, 0.8.0 ak 1.0.0 pa enjekte kòd move nan yo. Nan kèk èdtan, devlopè yo te reprann kontwòl sou pwojè a ak pwodwi mizajou 0.7.30, 0.8.1 ak 1.0.1 fikse pwoblèm nan. Vèsyon move yo te pibliye sèlman kòm pakè nan repozitwa NPM la. Repozitwa Git pwojè a sou GitHub pa te afekte. Tout itilizatè ki enstale vèsyon pwoblèm, si yo jwenn dosye jsextension sou Linux / macOS, ak dosye jsextension.exe ak create.dll sou Windows, yo konseye yo konsidere sistèm nan konpwomèt.
Chanjman move yo te ajoute yo te sanble ak sa yo te pwopoze deja nan klon UAParser.js, ki sanble yo te lage pou teste fonksyonalite anvan yo te lanse yon gwo echèl atak sou pwojè prensipal la. Fichye ègzekutabl jsextension la te chaje ak lanse sou sistèm itilizatè a soti nan yon lame ekstèn, ki te chwazi depann sou platfòm itilizatè a ak sipòte travay sou Linux, macOS ak Windows. Pou platfòm Windows la, anplis de pwogram min Monero cryptocurrency (miner XMRig la te itilize), atakè yo te òganize tou entwodiksyon bibliyotèk create.dll pou entèsepte modpas epi voye yo bay yon lame ekstèn.
Kòd telechaje a te ajoute nan fichye preinstall.sh la, ki gen ladann insert IP = $(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') si [ -z " $ IP" ] ... telechaje epi kouri ègzekutabl fi a
Kòm ou ka wè nan kòd la, script la premye tcheke adrès IP la nan sèvis la freegeoip.app epi li pa t 'lanse yon aplikasyon move pou itilizatè ki soti nan Larisi, Ikrèn, Byelorisi ak Kazakhstan.
Sous: opennet.ru