Trijų kenkėjiškų paketų, kurie nukopijavo UAParser.js bibliotekos kodą iš NPM saugyklos, pašalinimo istorija sulaukė netikėto tęsinio – nežinomi užpuolikai perėmė UAParser.js projekto autoriaus paskyros kontrolę ir išleido atnaujinimus su kodu slaptažodžių vagystė ir kriptovaliutų kasimas.
Problema ta, kad UAParser.js biblioteka, siūlanti HTTP vartotojo agento antraštės analizavimo funkcijas, per savaitę atsisiunčiama apie 8 milijonus kartų ir naudojama kaip priklausomybė daugiau nei 1200 projektų. Teigiama, kad UAParser.js naudoja tokios kompanijos kaip Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP ir Verison.
Ataka buvo įvykdyta įsilaužus į projekto kūrėjo paskyrą, kuri suprato, kad kažkas ne taip, kai į jo pašto dėžutę nukrito neįprasta el. pašto šiukšlių banga. Kaip tiksliai buvo įsilaužta į kūrėjo paskyrą, nepranešama. Užpuolikai sukūrė 0.7.29, 0.8.0 ir 1.0.0 leidimus, įvesdami į juos kenkėjišką kodą. Per kelias valandas kūrėjai atgavo projekto kontrolę ir sugeneravo atnaujinimus 0.7.30, 0.8.1 ir 1.0.1, ištaisančius problemą. Kenkėjiškos versijos buvo paskelbtos tik kaip paketai NPM saugykloje. Projekto „Git“ saugykla „GitHub“ nebuvo paveikta. Visiems naudotojams, įdiegusiems problemines versijas, jei jie randa jsextension failą „Linux“ / „macOS“ sistemoje, o „jsextension.exe“ ir „create.dll“ failus sistemoje „Windows“, patariama manyti, kad sistema pažeista.
Pridėti kenkėjiški pakeitimai buvo panašūs į anksčiau pasiūlytus UAParser.js klonuose, kurie, atrodo, buvo išleisti siekiant išbandyti funkcionalumą prieš pradedant didelio masto ataką prieš pagrindinį projektą. Vykdomasis failas „jextension“ buvo įkeltas ir paleistas vartotojo sistemoje iš išorinio pagrindinio kompiuterio, kuris buvo pasirinktas atsižvelgiant į vartotojo platformą ir palaikomą darbą „Linux“, „MacOS“ ir „Windows“. „Windows“ platformai, be kriptovaliutų gavybos programos „Monero“ (buvo naudojamas XMRig miner), užpuolikai taip pat suorganizavo Create.dll bibliotekos įvedimą, kad perimtų slaptažodžius ir išsiųstų juos į išorinį pagrindinį kompiuterį.
Atsisiuntimo kodas buvo pridėtas prie preinstall.sh failo, kuriame buvo įterpimas IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ'), jei [ -z " $ IP" ] ... atsisiųskite ir paleiskite „fi“ vykdomąjį failą
Kaip matyti iš kodo, scenarijus pirmiausia patikrino IP adresą tarnyboje freegeoip.app ir nepaleido kenkėjiškos programos vartotojams iš Rusijos, Ukrainos, Baltarusijos ir Kazachstano.
Šaltinis: opennet.ru