UAParser.js номын сангийн кодыг хуулсан гурван хортой багцыг NPM агуулахаас устгасан түүх гэнэтийн үргэлжлэлийг хүлээн авлаа - үл мэдэгдэх халдагчид UAParser.js төслийн зохиогчийн бүртгэлийг хяналтандаа авч, код агуулсан шинэчлэлтүүдийг гаргасан. нууц үг хулгайлах, криптовалют олборлох.
Асуудал нь User-Agent HTTP толгой хэсгийг задлан шинжлэх функцуудыг санал болгодог UAParser.js номын сан нь долоо хоногт 8 сая орчим татан авалттай бөгөөд 1200 гаруй төсөлд хараат байдлаар ашиглагддаг. UAParser.js нь Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP, Verison зэрэг компаниудын төсөлд ашиглагддаг гэж мэдэгджээ. .
Энэхүү халдлага нь төслийн хөгжүүлэгчийн дансыг хакердах замаар хийгдсэн бөгөөд тэрээр шуудангийн хайрцагт нь ер бусын давалгаа спам унасны дараа ямар нэг зүйл буруу болсныг ойлгосон. Хөгжүүлэгчийн бүртгэлийг яг хэрхэн хакердсан талаар мэдээлээгүй байна. Халдагчид 0.7.29, 0.8.0, 1.0.0 хувилбаруудыг үүсгэж, тэдгээрт хортой кодыг нэвтрүүлсэн. Хэдхэн цагийн дотор хөгжүүлэгчид төслийн хяналтыг эргүүлэн авч, асуудлыг засахын тулд 0.7.30, 0.8.1, 1.0.1 шинэчлэлтүүдийг хийсэн. Хортой хувилбаруудыг зөвхөн NPM репозиторт багц хэлбэрээр нийтэлсэн. GitHub дээрх төслийн Git репозитор өртөөгүй. Асуудалтай хувилбаруудыг суулгасан бүх хэрэглэгчид Linux/macOS дээр jsextension файл, Windows дээр jsextension.exe болон create.dll файлуудыг олвол системийг эвдэрсэн гэж үзэхийг зөвлөж байна.
Нэмэгдсэн хорлонтой өөрчлөлтүүд нь UAParser.js-ийн клонд өмнө нь санал болгож байсан өөрчлөлтүүдийг санагдуулам байсан бөгөөд энэ нь үндсэн төсөл рүү том хэмжээний халдлага хийхээс өмнө үйл ажиллагааг турших зорилгоор гаргасан бололтой. jsextension гүйцэтгэгдэх файлыг хэрэглэгчийн платформ болон Linux, macOS болон Windows дээр ажиллах дэмждэг гадаад хостоос татан авч хэрэглэгчийн системд ажиллуулсан. Windows платформын хувьд Monero криптовалют олборлох программаас гадна (XMRig олборлогчийг ашигласан) халдагчид нууц үгээ таслан гадны хост руу илгээхийн тулд create.dll номын санг нэвтрүүлэх ажлыг зохион байгуулжээ.
Татаж авах кодыг preinstall.sh файлд нэмсэн бөгөөд хэрэв [ -z " бол IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') оруулна. $ IP" ] ... fi файлыг татаж аваад ажиллуулна уу
Кодоос харахад скрипт нь эхлээд freegeoip.app үйлчилгээнд IP хаягийг шалгасан бөгөөд Орос, Украин, Беларусь, Казахстаны хэрэглэгчдэд зориулсан хортой програмыг ажиллуулаагүй байна.
Эх сурвалж: opennet.ru