Crita mbusak saka gudang NPM saka telung paket angkoro sing nyalin kode perpustakaan UAParser.js nampa kelanjutan sing ora dikarepke - panyerang sing ora dingerteni ngrebut kontrol akun penulis proyek UAParser.js lan nganyari nganyari sing ngemot kode kanggo nyolong sandhi lan cryptocurrencies pertambangan.
Masalahe yaiku perpustakaan UAParser.js, sing nawakake fungsi kanggo parsing header HTTP User-Agent, udakara 8 yuta download saben minggu lan digunakake minangka ketergantungan ing luwih saka 1200 proyek. Disebutake yen UAParser.js digunakake ing proyek perusahaan kayata Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP lan Verison .
Serangan kasebut ditindakake liwat peretasan akun pangembang proyek, sing nyadari yen ana sing salah sawise gelombang spam sing ora biasa tiba ing kothak layang. Kepiye persis akun pangembang disusupi ora dilaporake. Para panyerang nggawe rilis 0.7.29, 0.8.0 lan 1.0.0, ngenalake kode ala. Ing sawetara jam, pangembang entuk kontrol proyek kasebut lan nggawe nganyari 0.7.30, 0.8.1 lan 1.0.1 kanggo ndandani masalah kasebut. Versi angkoro diterbitake mung minangka paket ing repositori NPM. Repositori Git proyek ing GitHub ora kena pengaruh. Kabeh pangguna sing wis nginstal versi masalah, yen nemokake file jsextension ing Linux/macOS, lan file jsextension.exe lan create.dll ing Windows, dianjurake kanggo nimbang sistem kompromi.
Owah-owahan angkoro sing ditambahake kaya owah-owahan sing sadurunge diusulake ing klone UAParser.js, sing katon bakal diluncurake kanggo nguji fungsionalitas sadurunge ngluncurake serangan skala gedhe ing proyek utama. File eksekusi jsextension diundhuh lan diluncurake menyang sistem pangguna saka host eksternal, sing dipilih gumantung saka platform pangguna lan karya sing didhukung ing Linux, macOS lan Windows. Kanggo platform Windows, saliyane program kanggo pertambangan cryptocurrency Monero (penambang XMRig digunakake), para panyerang uga ngatur introduksi perpustakaan create.dll kanggo nyegat sandhi lan dikirim menyang host eksternal.
Kode undhuhan ditambahake menyang file preinstall.sh, sing dilebokake IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') yen [ -z " $ IP" ] ... download lan mbukak file eksekusi fi
Kaya sing bisa dideleng saka kode kasebut, skrip kasebut pisanan mriksa alamat IP ing layanan freegeoip.app lan ora ngluncurake aplikasi angkoro kanggo pangguna saka Rusia, Ukraina, Belarus lan Kazakhstan.
Source: opennet.ru