UAParser.js номын сангийн кодыг хуулсан гурван хортой багцыг NPM агуулахаас устгасан түүх гэнэтийн үргэлжлэлийг хүлээн авлаа - үл мэдэгдэх халдагчид UAParser.js төслийн зохиогчийн бүртгэлийг хяналтандаа авч, код агуулсан шинэчлэлтүүдийг гаргасан. нууц үг хулгайлах, криптовалют олборлох.
Асуудал нь User-Agent HTTP толгой хэсгийг задлан шинжлэх функцуудыг санал болгодог UAParser.js номын сан нь долоо хоногт 8 сая орчим татан авалттай бөгөөд 1200 гаруй төсөлд хараат байдлаар ашиглагддаг. UAParser.js нь Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP, Verison зэрэг компаниудын төсөлд ашиглагддаг гэж мэдэгджээ. .
Халдлагыг төсөл хөгжүүлэгчийн бүртгэлийг хакердах замаар хийсэн бөгөөд тэрээр имэйл хайрцагт нь ер бусын спам давалгаа ирсний дараа ямар нэгэн зүйл буруу байгааг ойлгосон. Хөгжүүлэгчийн бүртгэлийг яг хэрхэн хакердсан талаар мэдээлээгүй байна. Халдагчид 0.7.29, 0.8.0, болон 1.0.0 хувилбаруудыг үүсгэж, тэдгээрт хортой код оруулсан. Хэдхэн цагийн дотор хөгжүүлэгчид төслийн хяналтыг эргүүлэн авч, 0.7.30, 0.8.1, болон 1.0.1 шинэчлэлтүүдийг үүсгэн асуудлыг шийдвэрлэсэн. Хортой хувилбаруудыг зөвхөн NPM репозиторт багц хэлбэрээр нийтэлсэн. Төслийн GitHub дээрх Git репозиторт нөлөөлөөгүй. Асуудалтай хувилбаруудыг суулгасан бүх хэрэглэгчид илрүүлсний дараа... Linux/macOS jsextension файл болон дотор Windows jsextension.exe болон create.dll файлуудыг гэмтээсэн тохиолдолд системийг эвдэлсэн гэж үзэхийг зөвлөж байна.
Нэмэгдсэн хортой өөрчлөлтүүд нь UAParser.js клонуудад өмнө нь санал болгосон өөрчлөлтүүдтэй төстэй байсан бөгөөд эдгээр өөрчлөлтүүд нь үндсэн төсөлд томоохон хэмжээний халдлага хийхээс өмнө үйл ажиллагааг шалгах зорилгоор гарсан бололтой. jsextension гүйцэтгэгдэх файлыг гадаад хостоос татаж аваад хэрэглэгчийн систем дээр ажиллуулсан. jsextension гүйцэтгэгдэх файлыг хэрэглэгчийн платформ дээр үндэслэн сонгож, дэмжсэн. Linux, macOS и WindowsПлатформын хувьд Windows Monero криптовалютын олборлолтын програмаас гадна (XMRig олборлогчийг ашигласан) халдагчид нууц үгийг барьж аваад гадаад хост руу илгээхийн тулд create.dll санг суулгасан.
Татаж авах кодыг preinstall.sh файлд нэмсэн бөгөөд хэрэв [ -z " бол IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') оруулна. $ IP" ] ... fi файлыг татаж аваад ажиллуулна уу
Кодоос харахад скрипт нь эхлээд freegeoip.app үйлчилгээнд IP хаягийг шалгасан бөгөөд Орос, Украин, Беларусь, Казахстаны хэрэглэгчдэд зориулсан хортой програмыг ажиллуулаагүй байна.
Эх сурвалж: opennet.ru
