L-istorja tat-tneħħija ta’ tliet pakketti malizzjużi li kkupjaw il-kodiċi tal-librerija UAParser.js mir-repożitorju tal-NPM irċeviet kontinwazzjoni mhux mistennija - attakkanti mhux magħrufa ħatfu l-kontroll fuq il-kont tal-awtur tal-proġett UAParser.js u ħarġu aġġornamenti li fihom kodiċi għal serqet passwords u tħaffir kripto-muniti.
Il-problema hija li l-librerija UAParser.js, li toffri funzjonijiet għall-analiżi tal-header HTTP User-Agent, għandha madwar 8 miljun download fil-ġimgħa u tintuża bħala dipendenza f'aktar minn 1200 proġett. UAParser.js huwa ddikjarat li jintuża minn kumpaniji bħal Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP, u Verison.
L-attakk sar permezz ta 'hacking fil-kont tal-iżviluppatur tal-proġett, li induna li xi ħaġa kienet ħażina wara li mewġa mhux tas-soltu ta' spam waqgħet fil-kaxxa postali tiegħu. Kif eżattament il-kont tal-iżviluppatur ġie hacked mhux irrappurtat. L-attakkanti ħolqu rilaxxi 0.7.29, 0.8.0 u 1.0.0 billi injettaw fihom kodiċi malizzjuż. Fi ftit sigħat, l-iżviluppaturi reġgħu ħadu kontroll fuq il-proġett u ġġeneraw aġġornamenti 0.7.30, 0.8.1 u 1.0.1 li jiffissaw il-problema. Verżjonijiet malizzjużi ġew ippubblikati biss bħala pakketti fir-repożitorju tal-NPM. Ir-repożitorju Git tal-proġett fuq GitHub ma ġiex affettwat. L-utenti kollha li installaw verżjonijiet problematiċi, jekk isibu l-fajl jsextension fuq Linux / macOS, u l-fajls jsextension.exe u create.dll fuq Windows, huma avżati biex jikkunsidraw is-sistema kompromessa.
Il-bidliet malizzjużi miżjuda kienu simili għal dawk proposti qabel fil-kloni UAParser.js, li jidhru li ġew rilaxxati biex jittestjaw il-funzjonalità qabel ma nieda attakk fuq skala kbira fuq il-proġett ewlieni. Il-fajl eżekutibbli jsextension ġie mgħobbi u mniedi fuq is-sistema tal-utent minn host estern, li ntgħażel skont il-pjattaforma tal-utent u appoġġja x-xogħol fuq Linux, macOS u Windows. Għall-pjattaforma tal-Windows, minbarra l-programm tal-minjieri tal-kripto-munita Monero (intuża l-minatur XMRig), l-attakkanti organizzaw ukoll l-introduzzjoni tal-librerija create.dll biex jinterċettaw il-passwords u jibagħtuhom lil host estern.
Il-kodiċi tat-tniżżil ġie miżjud mal-fajl preinstall.sh, li kien jinkludi l-inserzjoni IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') jekk [ -z " $ IP" ] ... niżżel u ħaddem l-eżekutibbli fi
Kif jidher mill-kodiċi, l-iskrittura l-ewwel iċċekkja l-indirizz IP fis-servizz freegeoip.app u ma nedietx applikazzjoni malizzjuża għall-utenti mir-Russja, l-Ukrajna, il-Belarus u l-Każakstan.
Sors: opennet.ru