D'Geschicht vun der Entfernung aus dem NPM-Repository vun dräi béiswëlleg Packagen, déi de Code vun der UAParser.js-Bibliothéik kopéiert hunn, krut eng onerwaart Fortsetzung - onbekannt Ugräifer hunn d'Kontroll iwwer de Kont vum Autor vum UAParser.js-Projet ageholl an hunn Updates verëffentlecht mat Code fir klauen Passwierder a Minière cryptocurrency.
De Problem ass datt d'UAParser.js Bibliothéik, déi Funktiounen ubitt fir den User-Agent HTTP Header ze analyséieren, huet ongeféier 8 Milliounen Downloads pro Woch a gëtt als Ofhängegkeet a méi wéi 1200 Projeten benotzt. Et gëtt uginn datt UAParser.js a Projete vu Firmen wéi Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP a Verison benotzt gëtt .
D'Attack gouf duerch d'Hacking vum Kont vum Projetsentwéckler duerchgefouert, deen gemierkt huet datt eppes falsch war, nodeems eng ongewéinlech Welle vu Spam a seng Mailbox gefall ass. Wéi genau de Kont vum Entwéckler gehackt gouf, gëtt net gemellt. D'Attacker hunn d'Verëffentlechungen 0.7.29, 0.8.0 an 1.0.0 erstallt, a béiswëlleg Code an hinnen agefouert. Bannent e puer Stonnen hunn d'Entwéckler d'Kontroll vum Projet erëmgewielt an Updates 0.7.30, 0.8.1 an 1.0.1 erstallt fir de Problem ze fixéieren. Béiswëlleg Versioune goufen nëmmen als Packagen am NPM Repository publizéiert. De Git Repository vum Projet op GitHub war net betraff. All Benotzer déi problematesch Versiounen installéiert hunn, wa se d'jsextension-Datei op Linux/macOS fannen, an d'jsextension.exe an create.dll Dateien op Windows, ginn ugeroden de System kompromittéiert ze berücksichtegen.
Déi béiswëlleg Ännerunge bäigefüügt erënneren un Ännerungen, déi virdru virgeschloen goufen an Klonen vun UAParser.js, déi scheinbar verëffentlecht gi fir d'Funktionalitéit ze testen ier e grousst Attack op den Haaptprojet lancéiert huet. D'ausführbar Datei jsextension gouf erofgelueden an op de System vum Benotzer vun engem externen Host gestart, deen ofhängeg vun der Plattform vum Benotzer ausgewielt gouf an d'Aarbecht op Linux, MacOS a Windows ënnerstëtzt. Fir d'Windows Plattform, nieft dem Programm fir d'Monero-Krypto-Währung ze minen (de XMRig-Miner gouf benotzt), hunn d'Ugräifer och d'Aféierung vun der create.dll-Bibliothéik organiséiert fir Passwierder z'ënnerscheeden an se un en externen Host ze schécken.
Den Downloadcode gouf an d'Preinstall.sh Datei bäigefüügt, an där d'Insert IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') wann [ -z " $ IP" ] ... download a lafen déi ausführbar Datei fi
Wéi kann aus dem Code gesi ginn, huet de Skript fir d'éischt d'IP Adress am freegeoip.app Service gepréift an huet keng béiswëlleg Applikatioun fir Benotzer aus Russland, Ukraine, Wäissrussland a Kasachstan gestart.
Source: opennet.ru