Stāsts par trīs ļaundabīgo pakotņu izņemšanu no NPM repozitorija, kas kopēja UAParser.js bibliotēkas kodu, saņēma negaidītu turpinājumu - nezināmi uzbrucēji pārņēma kontroli pār UAParser.js projekta autora kontu un izlaida atjauninājumus, kas satur kodu paroļu zagšana un kriptovalūtu ieguve.
Problēma ir tāda, ka UAParser.js bibliotēkai, kas piedāvā funkcijas User-Agent HTTP galvenes parsēšanai, ir aptuveni 8 miljoni lejupielāžu nedēļā, un tā tiek izmantota kā atkarība vairāk nekā 1200 projektos. Tiek norādīts, ka UAParser.js tiek izmantots tādu uzņēmumu projektos kā Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP un Verison .
Uzbrukums tika veikts, uzlaužot projekta izstrādātāja kontu, kurš saprata, ka kaut kas nav kārtībā pēc tam, kad viņa pastkastītē iekrita neparasts surogātpasta vilnis. Par to, kā tieši tika uzlauzts izstrādātāja konts, netiek ziņots. Uzbrucēji izveidoja laidienus 0.7.29, 0.8.0 un 1.0.0, ieviešot tajos ļaunprātīgu kodu. Dažu stundu laikā izstrādātāji atguva kontroli pār projektu un izveidoja atjauninājumus 0.7.30, 0.8.1 un 1.0.1, lai novērstu problēmu. Ļaunprātīgas versijas tika publicētas tikai kā pakotnes NPM repozitorijā. Projekta Git repozitorijs vietnē GitHub netika ietekmēts. Visiem lietotājiem, kuri ir instalējuši problemātiskas versijas, ja viņi atrod jsextension failu operētājsistēmā Linux/macOS un jsextension.exe un create.dll failus operētājsistēmā Windows, ieteicams uzskatīt, ka sistēma ir apdraudēta.
Pievienotās ļaunprātīgās izmaiņas atgādināja izmaiņas, kas iepriekš tika ierosinātas UAParser.js klonos, kas, šķiet, tika izlaistas, lai pārbaudītu funkcionalitāti pirms liela mēroga uzbrukuma galvenajam projektam. Jsextension izpildāmais fails tika lejupielādēts un palaists lietotāja sistēmā no ārēja resursdatora, kas tika atlasīts atkarībā no lietotāja platformas un atbalstītā darba operētājsistēmās Linux, macOS un Windows. Windows platformai papildus Monero kriptovalūtas ieguves programmai (tika izmantots XMRig kalnracis) uzbrucēji organizēja arī create.dll bibliotēkas ieviešanu, lai pārtvertu paroles un nosūtītu tās uz ārēju saimniekdatoru.
Lejupielādes kods tika pievienots failam preinstall.sh, kurā jāievieto IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ'), ja [ -z " $ IP" ] ... lejupielādējiet un palaidiet izpildāmo failu fi
Kā redzams no koda, skripts vispirms pārbaudīja IP adresi pakalpojumā freegeoip.app un nepalaida ļaunprātīgu lietojumprogrammu lietotājiem no Krievijas, Ukrainas, Baltkrievijas un Kazahstānas.
Avots: opennet.ru