Az UAParser.js könyvtár kódját másoló három rosszindulatú csomag NPM-tárházból való eltávolításának története váratlan folytatást kapott - ismeretlen támadók átvették az irányítást az UAParser.js projekt szerzőjének fiókja felett, és kiadták a következő kódot tartalmazó frissítéseket. jelszavak ellopása és kriptovaluták bányászata.
A probléma az, hogy az UAParser.js könyvtárat, amely a User-Agent HTTP-fejlécek elemzésére kínálja, körülbelül 8 millióan töltik le hetente, és több mint 1200 projektben használják függőségként. Állítások szerint az UAParser.js-t olyan cégek projektjeiben használják, mint a Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP és Verison .
A támadást a projektfejlesztő fiókjának feltörésével hajtották végre, aki rájött, hogy valami nincs rendben, miután szokatlan spamhullám zuhant a postaládájába. Hogy pontosan hogyan törték fel a fejlesztő fiókját, arról nem számoltak be. A támadók létrehozták a 0.7.29, 0.8.0 és 1.0.0 kiadásokat, rosszindulatú kódokat juttatva bele. A fejlesztők néhány órán belül visszanyerték az irányítást a projekt felett, és létrehozták a 0.7.30, 0.8.1 és 1.0.1 frissítéseket a probléma megoldására. A rosszindulatú verziók csak csomagként kerültek közzétételre az NPM-lerakatban. A projekt Git-tárolóját a GitHubon ez nem érintette. Minden olyan felhasználónak, aki problémás verziót telepített, ha megtalálja a jsextension fájlt Linux/macOS rendszeren, illetve a jsextension.exe és create.dll fájlokat Windows rendszeren, azt tanácsoljuk, hogy tekintse a rendszer veszélyeztetettségét.
A hozzáadott rosszindulatú módosítások az UAParser.js klónjaiban korábban javasolt változtatásokra emlékeztettek, amelyek úgy tűnt, hogy tesztelték a funkcionalitást, mielőtt nagyszabású támadást indítottak volna a fő projekt ellen. A jextension végrehajtható fájlt egy külső gazdagépről töltötték le és indították el a felhasználó rendszerén, amelyet a felhasználó platformja és a Linux, macOS és Windows rendszeren támogatott munka függvényében választottak ki. A Windows platformon a Monero kriptovaluta bányászatára szolgáló program mellett (az XMRig bányászt használták) a támadók a create.dll könyvtár bevezetését is megszervezték a jelszavak elfogására és egy külső gazdagépre való elküldésére.
A letöltési kódot hozzáadtuk a preinstall.sh fájlhoz, amelyben az IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') beszúrása, ha [ -z " $ IP" ] ... töltse le és futtassa a futtatható fájlt fi
A kódból látható, hogy a szkript először a freegeoip.app szolgáltatásban ellenőrizte az IP-címet, és nem indított rosszindulatú alkalmazást Oroszországból, Ukrajnából, Fehéroroszországból és Kazahsztánból.
Forrás: opennet.ru