NPM պահոցից երեք վնասակար փաթեթների հեռացման պատմությունը, որոնք պատճենում էին UAParser.js գրադարանի կոդը, անսպասելի շարունակություն ստացավ. անհայտ հարձակվողները գրավեցին UAParser.js նախագծի հեղինակի հաշիվը և թողարկեցին թարմացումներ, որոնք պարունակում են կոդ: գաղտնաբառերի գողություն և կրիպտոարժույթների մայնինգ:
Խնդիրն այն է, որ UAParser.js գրադարանը, որն առաջարկում է User-Agent HTTP վերնագրի վերլուծության գործառույթներ, ունի շաբաթական մոտ 8 միլիոն ներբեռնում և օգտագործվում է որպես կախվածություն ավելի քան 1200 նախագծերում: Նշվում է, որ UAParser.js-ն օգտագործվում է այնպիսի ընկերությունների նախագծերում, ինչպիսիք են Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP և Verison: .
Հարձակումն իրականացվել է նախագծի մշակողի հաշիվը կոտրելու միջոցով, ով հասկացել է, որ ինչ-որ բան այն չէ, երբ իր փոստարկղն ընկել է սպամի անսովոր ալիք: Թե կոնկրետ ինչպես են կոտրել ծրագրավորողի հաշիվը, չի հաղորդվում: Հարձակվողները ստեղծել են 0.7.29, 0.8.0 և 1.0.0 թողարկումները՝ դրանց մեջ ներմուծելով վնասակար կոդ։ Մի քանի ժամվա ընթացքում մշակողները վերականգնեցին նախագծի վերահսկողությունը և ստեղծեցին 0.7.30, 0.8.1 և 1.0.1 թարմացումները՝ խնդիրը շտկելու համար: Վնասակար տարբերակները հրապարակվել են միայն որպես փաթեթներ NPM պահոցում: Ծրագրի Git պահոցը GitHub-ում չի տուժել: Բոլոր օգտատերերին, ովքեր տեղադրել են խնդրահարույց տարբերակներ, եթե գտնեն jsextension ֆայլը Linux/macOS-ում, իսկ jsextension.exe և create.dll ֆայլերը Windows-ում, խորհուրդ է տրվում համակարգը վտանգված համարել:
Ավելացված վնասակար փոփոխությունները հիշեցնում էին նախկինում առաջարկված փոփոխությունները UAParser.js-ի կլոններում, որոնք կարծես թե թողարկվել էին ֆունկցիոնալությունը փորձարկելու համար՝ նախքան հիմնական նախագծի վրա լայնածավալ հարձակում սկսելը: jsextension գործարկվող ֆայլը ներբեռնվել և գործարկվել է օգտատիրոջ համակարգ արտաքին հոսթից, որն ընտրվել է կախված օգտագործողի հարթակից և աջակցում է Linux-ի, macOS-ի և Windows-ի վրա աշխատանքը: Windows պլատֆորմի համար, բացի Monero կրիպտոարժույթի մայնինգի ծրագրից (օգտագործվել է XMRig հանքագործը), հարձակվողները կազմակերպել են նաև create.dll գրադարանի ներդրումը գաղտնաբառերը որսալու և դրանք արտաքին հոսթին ուղարկելու համար։
Ներբեռնման կոդը ավելացվել է preinstall.sh ֆայլին, որում տեղադրվում է IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ'), եթե [ -z " $ IP» ] ... ներբեռնեք և գործարկեք գործարկվող ֆայլը
Ինչպես երևում է ծածկագրից, սկրիպտը սկզբում ստուգել է IP հասցեն freegeoip.app ծառայության մեջ և չի գործարկել վնասակար հավելված Ռուսաստանի, Ուկրաինայի, Բելառուսի և Ղազախստանի օգտատերերի համար։
Source: opennet.ru