UAParser.js кітапханасының кодын көшірген үш зиянды буманың NPM репозиторийінен жойылу оқиғасы күтпеген жалғасын алды – белгісіз шабуылдаушылар UAParser.js жобасы авторының тіркелгісін бақылауды басып алды және коды бар жаңартуларды шығарды. құпия сөздерді ұрлау және криптовалюталарды өндіру.
Мәселе мынада: User-Agent HTTP тақырыбын талдауға арналған функцияларды ұсынатын UAParser.js кітапханасы аптасына 8 миллионға жуық жүктеп алынады және 1200-ден астам жобаларда тәуелділік ретінде пайдаланылады. UAParser.js Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP және Verison сияқты компаниялардың жобаларында қолданылатыны айтылған. .
Шабуыл пошта жәшігіне әдеттен тыс спам толқыны түскеннен кейін бірдеңе дұрыс емес екенін түсінген жоба әзірлеушісінің аккаунтын бұзу арқылы жасалды. Әзірлеушінің тіркелгісі қалай бұзылғаны туралы мәлімет жоқ. Қауіптілер 0.7.29, 0.8.0 және 1.0.0 шығарылымдарын жасап, оларға зиянды код енгізді. Бірнеше сағат ішінде әзірлеушілер жобаны бақылауды қалпына келтіріп, мәселені шешу үшін 0.7.30, 0.8.1 және 1.0.1 жаңартуларын жасады. Зиянды нұсқалар NPM репозиторийінде пакеттер ретінде ғана жарияланды. Жобаның GitHub-тағы Git репозиторийіне әсер еткен жоқ. Проблемалық нұсқаларды орнатқан барлық пайдаланушыларға Linux/macOS жүйесінде jsextension файлын және Windows жүйесінде jsextension.exe және create.dll файлдарын тапса, жүйе бұзылған деп санауға кеңес беріледі.
Қосылған зиянды өзгерістер UAParser.js клондарында бұрын ұсынылған өзгерістерді еске түсірді, олар негізгі жобаға ауқымды шабуылды бастамас бұрын функционалдылықты тексеру үшін шығарылған сияқты. jsextension орындалатын файлы жүктеліп, пайдаланушының жүйесіне сыртқы хосттан іске қосылды, ол пайдаланушы платформасына және Linux, macOS және Windows жүйелерінде қолдау көрсетілетін жұмысқа байланысты таңдалды. Windows платформасы үшін Monero криптовалютасын өндіруге арналған бағдарламадан басқа (XMRig шахтеры пайдаланылды) шабуылдаушылар құпия сөздерді ұстап алу және оларды сыртқы хостқа жіберу үшін create.dll кітапханасын енгізуді де ұйымдастырды.
Жүктеп алу коды preinstall.sh файлына қосылды, онда кірістіру IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') егер [ -z " болса. $ IP" ] ... fi орындалатын файлды жүктеп алып, іске қосыңыз
Кодтан көрініп тұрғандай, сценарий алдымен freegeoip.app сервисінде IP мекенжайын тексеріп, Ресей, Украина, Беларусь және Қазақстан пайдаланушылары үшін зиянды қолданбаны іске қоспаған.
Ақпарат көзі: opennet.ru