UAParser.js китепканасынын кодун көчүргөн үч зыяндуу пакеттерди NPM репозиторийинен алып салуу окуясы күтүүсүз уландыга ээ болду - белгисиз чабуулчулар UAParser.js долбоорунун авторунун аккаунтун көзөмөлгө алып, кодун камтыган жаңыртууларды чыгарышты. сырсөздөрдү уурдоо жана тоо-кен казып алуу криптовалюта.
Маселе, User-Agent HTTP башын талдоо функцияларын сунуштаган UAParser.js китепканасында жумасына 8 миллионго жакын жүктөмөлөр бар жана 1200дөн ашык долбоорлордо көз карандылык катары колдонулат. UAParser.js Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP жана Verison сыяктуу компаниялардын долбоорлорунда колдонулары айтылат. .
Кол салуу долбоордун иштеп чыгуучунун аккаунтун бузуп алуу аркылуу ишке ашырылган, ал өзүнүн почта ящигине адаттан тыш спам толкуну түшкөндөн кийин бир нерсе туура эмес экенин түшүнгөн. Иштеп чыгуучунун аккаунту кандайча талкаланганы тууралуу маалымат жок. Чабуулчулар 0.7.29, 0.8.0 жана 1.0.0 релиздерин түзүп, аларга зыяндуу кодду киргизишкен. Бир нече сааттын ичинде иштеп чыгуучулар долбоорду көзөмөлгө алып, көйгөйдү чечүү үчүн 0.7.30, 0.8.1 жана 1.0.1 жаңыртууларын түзүштү. Зыяндуу версиялар NPM репозиторийинде пакеттер катары гана жарыяланды. Долбоордун GitHubдагы Git репозиторийине таасир эткен жок. Көйгөйлүү версияларды орноткон бардык колдонуучулар, эгер алар Linux/macOS'то jsextension файлын жана Windows'до jsextension.exe жана create.dll файлдарын тапса, системанын бузулганын карап чыгуу сунушталат.
Кошулган зыяндуу өзгөртүүлөр UAParser.js клондорунда мурда сунушталган өзгөртүүлөрдү эске салды, алар негизги долбоорго масштабдуу чабуулду баштаардан мурун функционалдык мүмкүнчүлүктөрдү текшерүү үчүн чыгарылган. jsextension аткарылуучу файлы жүктөлүп алынып, колдонуучунун тутумуна тышкы хосттон ишке киргизилди, ал колдонуучунун платформасына жараша тандалып алынган жана Linux, macOS жана Windows'та колдоого алынган. Windows платформасы үчүн, Monero cryptocurrency (XMRig казуучу колдонулган) казып алуу боюнча программадан тышкары, чабуулчулар сырсөздөрдү кармап, тышкы хостко жөнөтүү үчүн create.dll китепканасын киргизүүнү да уюштурушкан.
Жүктөп алуу коду preinstall.sh файлына кошулду, анда IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') кыстаруу, эгерде [ -z " $ IP" ] ... fi аткарылуучу файлды жүктөп алып, иштетиңиз
Коддон көрүнүп тургандай, скрипт алгач freegeoip.app сервисинде IP даректи текшерип, Орусия, Украина, Беларусь жана Казакстандан келген колдонуучулар үчүн зыяндуу тиркемени ишке киргизген эмес.
Source: opennet.ru