Historien om fjerningen fra NPM-lageret av tre ondsinnede pakker som kopierte koden til UAParser.js-biblioteket fikk en uventet fortsettelse - ukjente angripere tok kontroll over kontoen til forfatteren av UAParser.js-prosjektet og ga ut oppdateringer som inneholder kode for stjele passord og utvinne kryptovalutaer.
Problemet er at UAParser.js-biblioteket, som tilbyr funksjoner for å analysere User-Agent HTTP-headeren, har omtrent 8 millioner nedlastinger per uke og brukes som en avhengighet i mer enn 1200 prosjekter. Det er oppgitt at UAParser.js brukes i prosjekter til selskaper som Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP og Verison .
Angrepet ble utført gjennom hacking av kontoen til prosjektutvikleren, som innså at noe var galt etter at en uvanlig bølge av spam falt inn i postkassen hans. Hvordan nøyaktig utviklerens konto ble hacket er ikke rapportert. Angriperne opprettet utgivelsene 0.7.29, 0.8.0 og 1.0.0, og introduserte ondsinnet kode i dem. I løpet av noen få timer tok utviklerne tilbake kontrollen over prosjektet og laget oppdateringer 0.7.30, 0.8.1 og 1.0.1 for å fikse problemet. Ondsinnede versjoner ble kun publisert som pakker i NPM-depotet. Prosjektets Git-depot på GitHub ble ikke berørt. Alle brukere som har installert problematiske versjoner, hvis de finner jsextension-filen på Linux/macOS, og jsextension.exe og create.dll-filene på Windows, anbefales å vurdere systemet som kompromittert.
De ondsinnede endringene som ble lagt til minner om endringer som tidligere ble foreslått i kloner av UAParser.js, som så ut til å være utgitt for å teste funksjonaliteten før et storstilt angrep på hovedprosjektet ble lansert. Den kjørbare filen jsextension ble lastet ned og lansert på brukerens system fra en ekstern vert, som ble valgt avhengig av brukerens plattform og støttet arbeid på Linux, macOS og Windows. For Windows-plattformen, i tillegg til programmet for utvinning av Monero-kryptovalutaen (XMRig-gruvearbeideren ble brukt), organiserte angriperne også introduksjonen av create.dll-biblioteket for å avskjære passord og sende dem til en ekstern vert.
Nedlastingskoden ble lagt til preinstall.sh-filen, der insert IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') hvis [ -z " $ IP" ] ... last ned og kjør den kjørbare filen fi
Som det fremgår av koden, sjekket skriptet først IP-adressen i freegeoip.app-tjenesten og lanserte ikke en ondsinnet applikasjon for brukere fra Russland, Ukraina, Hviterussland og Kasakhstan.
Kilde: opennet.ru