Povestea eliminării din depozitul NPM a trei pachete rău intenționate care copiau codul bibliotecii UAParser.js a primit o continuare neașteptată - atacatorii necunoscuți au preluat controlul contului autorului proiectului UAParser.js și au lansat actualizări care conțineau cod pentru furtul de parole și exploatarea criptomonedelor.
Problema este că biblioteca UAParser.js, care oferă funcții de analizare a antetului HTTP User-Agent, are aproximativ 8 milioane de descărcări pe săptămână și este folosită ca dependență în peste 1200 de proiecte. Se precizează că UAParser.js este utilizat în proiecte ale unor companii precum Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP și Verison. .
Atacul a fost efectuat prin piratarea contului dezvoltatorului proiectului, care și-a dat seama că ceva nu era în regulă după ce un val neobișnuit de spam a căzut în căsuța poștală a acestuia. Cum exact a fost piratat contul dezvoltatorului nu este raportat. Atacatorii au creat versiunile 0.7.29, 0.8.0 și 1.0.0, introducând cod rău intenționat în ele. În câteva ore, dezvoltatorii au recăpătat controlul asupra proiectului și au creat actualizări 0.7.30, 0.8.1 și 1.0.1 pentru a remedia problema. Versiunile rău intenționate au fost publicate numai ca pachete în depozitul NPM. Depozitul Git al proiectului de pe GitHub nu a fost afectat. Toți utilizatorii care au instalat versiuni problematice, dacă găsesc fișierul jsextension pe Linux/macOS și fișierele jsextension.exe și create.dll pe Windows, sunt sfătuiți să ia în considerare sistemul compromis.
Modificările rău intenționate adăugate aminteau de modificările propuse anterior în clonele UAParser.js, care păreau a fi lansate pentru a testa funcționalitatea înainte de a lansa un atac la scară largă asupra proiectului principal. Fișierul executabil jsextension a fost descărcat și lansat pe sistemul utilizatorului de pe o gazdă externă, care a fost selectată în funcție de platforma utilizatorului și a suportat lucrul pe Linux, macOS și Windows. Pentru platforma Windows, pe lângă programul de minare a criptomonedei Monero (a fost folosit minerul XMRig), atacatorii au organizat și introducerea bibliotecii create.dll pentru a intercepta parolele și a le trimite către o gazdă externă.
Codul de descărcare a fost adăugat la fișierul preinstall.sh, în care inserarea IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') dacă [ -z " $ IP" ] ... descărcați și rulați fișierul executabil fi
După cum se poate vedea din cod, scriptul a verificat mai întâi adresa IP în serviciul freegeoip.app și nu a lansat o aplicație rău intenționată pentru utilizatorii din Rusia, Ucraina, Belarus și Kazahstan.
Sursa: opennet.ru