UAParser.js ライブラリのコードをコピーした XNUMX つの悪意のあるパッケージが NPM リポジトリから削除されたという話は、予期せぬ続きを受け取りました。未知の攻撃者が UAParser.js プロジェクトの作成者のアカウントを制御し、次のコードを含む更新をリリースしました。パスワードを盗んだり、暗号通貨をマイニングしたりする。
問題は、User-Agent HTTP ヘッダーを解析する機能を提供する UAParser.js ライブラリが 8 週間に約 1200 万ダウンロードされ、XNUMX 以上のプロジェクトで依存関係として使用されていることです。 UAParser.js は、Microsoft、Amazon、Facebook、Slack、Discord、Mozilla、Apple、ProtonMail、Autodesk、Reddit、Vimeo、Uber、Dell、IBM、Siemens、Oracle、HP、Verison などの企業のプロジェクトで使用されていると記載されています。
この攻撃は、異常なスパムの波がメールボックスに届いた後、何かがおかしいことに気づいたプロジェクト開発者のアカウントのハッキングによって実行されました。 開発者のアカウントがどのように正確にハッキングされたのかは報告されていない。 攻撃者はリリース 0.7.29、0.8.0、および 1.0.0 を作成し、悪意のあるコードを導入しました。 数時間以内に、開発者はプロジェクトの制御を取り戻し、問題を修正するためのアップデート 0.7.30、0.8.1、および 1.0.1 を作成しました。 悪意のあるバージョンは、NPM リポジトリ内のパッケージとしてのみ公開されました。 GitHub 上のプロジェクトの Git リポジトリは影響を受けませんでした。 問題のあるバージョンをインストールしているすべてのユーザーは、Linux/macOS で jsextension ファイル、Windows で jsextension.exe および create.dll ファイルを見つけた場合、システムが侵害されていると考えることをお勧めします。
追加された悪意のある変更は、UAParser.js のクローンで以前に提案された変更を彷彿とさせます。この変更は、メイン プロジェクトに対して大規模な攻撃を開始する前に機能をテストするためにリリースされたものと思われます。 jsextension 実行可能ファイルは、ユーザーのプラットフォームに応じて選択され、Linux、macOS、および Windows での動作をサポートする外部ホストからユーザーのシステムにダウンロードされ、起動されました。 Windows プラットフォームの場合、攻撃者は、Monero 暗号通貨をマイニングするためのプログラム (XMRig マイナーが使用されました) に加えて、パスワードを傍受して外部ホストに送信するための create.dll ライブラリの導入も計画しました。
ダウンロード コードが preinstall.sh ファイルに追加されました。このファイルには、IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') if [ -z " が挿入されています。 $ IP" ] ... 実行可能ファイル fi をダウンロードして実行します
コードからわかるように、スクリプトは最初に freegeoip.app サービスの IP アドレスをチェックし、ロシア、ウクライナ、ベラルーシ、カザフスタンのユーザーに対して悪意のあるアプリケーションを起動しませんでした。
出所: オープンネット.ru