Kisah penyingkiran tiga pakej berniat jahat yang menyalin kod pustaka UAParser.js daripada repositori NPM menerima kesinambungan yang tidak dijangka - penyerang tidak diketahui merampas kawalan ke atas akaun pengarang projek UAParser.js dan mengeluarkan kemas kini yang mengandungi kod untuk mencuri kata laluan dan perlombongan mata wang kripto.
Masalahnya ialah perpustakaan UAParser.js, yang menawarkan fungsi untuk menghuraikan pengepala Ejen Pengguna HTTP, mempunyai kira-kira 8 juta muat turun setiap minggu dan digunakan sebagai pergantungan dalam lebih 1200 projek. UAParser.js didakwa digunakan oleh syarikat seperti Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP dan Verison.
Serangan itu dilakukan dengan menggodam akaun pemaju projek, yang menyedari ada sesuatu yang tidak kena selepas gelombang spam yang luar biasa jatuh ke dalam peti melnya. Bagaimana sebenarnya akaun pembangun digodam tidak dilaporkan. Penyerang mencipta keluaran 0.7.29, 0.8.0 dan 1.0.0 dengan menyuntik kod hasad ke dalamnya. Dalam masa beberapa jam, pembangun memperoleh semula kawalan ke atas projek dan menghasilkan kemas kini 0.7.30, 0.8.1 dan 1.0.1 yang membetulkan masalah. Versi hasad diterbitkan hanya sebagai pakej dalam repositori NPM. Repositori Git projek pada GitHub tidak terjejas. Semua pengguna yang telah memasang versi bermasalah, jika mereka mendapati fail jsextension pada Linux / macOS, dan fail jsextension.exe dan create.dll pada Windows, dinasihatkan untuk menganggap sistem terjejas.
Perubahan berniat jahat yang ditambahkan adalah serupa dengan yang dicadangkan sebelum ini dalam klon UAParser.js, yang nampaknya telah dikeluarkan untuk menguji kefungsian sebelum melancarkan serangan berskala besar pada projek utama. Fail boleh laku jsextension telah dimuatkan dan dilancarkan pada sistem pengguna daripada hos luaran, yang dipilih bergantung pada platform pengguna dan kerja yang disokong pada Linux, macOS dan Windows. Untuk platform Windows, sebagai tambahan kepada program perlombongan mata wang kripto Monero (pelombong XMRig telah digunakan), penyerang juga menganjurkan pengenalan perpustakaan create.dll untuk memintas kata laluan dan menghantarnya ke hos luaran.
Kod muat turun telah ditambahkan pada fail preinstall.sh, yang termasuk memasukkan IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') jika [ -z " $ IP" ] ... muat turun dan jalankan fi boleh laku
Seperti yang dapat dilihat daripada kod, skrip mula-mula menyemak alamat IP dalam perkhidmatan freegeoip.app dan tidak melancarkan aplikasi berniat jahat untuk pengguna dari Rusia, Ukraine, Belarus dan Kazakhstan.
Sumber: opennet.ru