Sagan af fjarlægingu úr NPM geymslunni á þremur skaðlegum pakka sem afrituðu kóðann á UAParser.js bókasafninu fékk óvænt framhald - óþekktir árásarmenn náðu yfirráðum yfir reikningi höfundar UAParser.js verkefnisins og gáfu út uppfærslur sem innihéldu kóða fyrir að stela lykilorðum og vinna dulritunargjaldmiðla.
Vandamálið er að UAParser.js bókasafnið, sem býður upp á aðgerðir til að flokka HTTP-haus User-Agent, hefur um 8 milljónir niðurhala á viku og er notað sem ósjálfstæði í meira en 1200 verkefnum. Fram kemur að UAParser.js sé notað í verkefnum fyrirtækja eins og Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP og Verison .
Árásin var gerð með því að hakka inn reikning framkvæmdaraðilans, sem áttaði sig á að eitthvað væri að eftir að óvenjuleg bylgja ruslpósts féll í pósthólf hans. Ekki er greint frá því hvernig nákvæmlega var brotist inn á reikning þróunaraðilans. Árásarmennirnir bjuggu til útgáfur 0.7.29, 0.8.0 og 1.0.0 og settu illgjarn kóða inn í þær. Innan nokkurra klukkustunda náðu verktaki aftur stjórn á verkefninu og bjuggu til uppfærslur 0.7.30, 0.8.1 og 1.0.1 til að laga vandamálið. Illgjarnar útgáfur voru aðeins birtar sem pakkar í NPM geymslunni. Git geymsla verkefnisins á GitHub varð ekki fyrir áhrifum. Öllum notendum sem hafa sett upp erfiðar útgáfur, ef þeir finna jsextension skrána á Linux/macOS, og jsextension.exe og create.dll skrárnar á Windows, er bent á að íhuga kerfið í hættu.
Skaðlegu breytingarnar sem bætt var við minntu á breytingar sem áður voru lagðar til í klónum af UAParser.js, sem virtust hafa verið gefin út til að prófa virkni áður en ráðist var í stórfellda árás á aðalverkefnið. Jsextension executable skráin var hlaðið niður og sett á kerfi notandans frá utanaðkomandi hýsil, sem var valinn eftir vettvangi notandans og studd vinnu á Linux, macOS og Windows. Fyrir Windows vettvanginn, auk forritsins til að vinna Monero cryptocurrency (XMRig miner var notað), skipulögðu árásarmennirnir einnig kynningu á create.dll bókasafninu til að stöðva lykilorð og senda þau til utanaðkomandi gestgjafa.
Niðurhalskóðanum var bætt við preinstall.sh skrána, þar sem settur var inn IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') ef [ -z " $ IP" ] ... hlaða niður og keyrðu keyrsluskrána fi
Eins og sést á kóðanum athugaði handritið fyrst IP töluna í freegeoip.app þjónustunni og ræsti ekki illgjarnt forrit fyrir notendur frá Rússlandi, Úkraínu, Hvíta-Rússlandi og Kasakstan.
Heimild: opennet.ru