ٽن بدسلوڪي پيڪيجز جي NPM مخزن مان هٽائڻ جي ڪهاڻي جيڪا نقل ڪئي UAParser.js لائبريري جو ڪوڊ هڪ اڻڄاتل تسلسل حاصل ڪيو - نامعلوم حملي آورن UAParser.js پروجيڪٽ جي ليکڪ جي اڪائونٽ تي قبضو ڪيو ۽ تازه ڪاري جاري ڪئي جنهن ۾ ڪوڊ شامل آهن. چوري پاسورڊ ۽ مائننگ cryptocurrencies.
مسئلو اهو آهي ته UAParser.js لائبريري، جيڪا يوزر-ايجنٽ HTTP هيڊر کي پارس ڪرڻ لاءِ ڪم پيش ڪري ٿي، هر هفتي اٽڪل 8 ملين ڊائون لوڊ آهن ۽ 1200 کان وڌيڪ منصوبن ۾ انحصار جي طور تي استعمال ٿيل آهي. اهو بيان ڪيو ويو آهي ته UAParser.js اهڙين ڪمپنين جي منصوبن ۾ استعمال ڪيو ويندو آهي جهڙوڪ Microsoft، Amazon، Facebook، Slack، Discord، Mozilla، Apple، ProtonMail، Autodesk، Reddit، Vimeo، Uber، Dell، IBM، Siemens، Oracle، HP ۽ Verison .
اهو حملو پروجيڪٽ ڊولپر جي اڪائونٽ جي هيڪنگ ذريعي ڪيو ويو، جنهن محسوس ڪيو ته ڪجهه غلط هو جڏهن اسپام جي هڪ غير معمولي لهر سندس ميل باڪس ۾ اچي وئي. ڊولپر جو اڪائونٽ ڪيئن صحيح طور تي هيڪ ڪيو ويو ٻڌايو ويو ناهي. حملي آور ريليز 0.7.29، 0.8.0 ۽ 1.0.0 ٺاهي، انهن ۾ بدسلوڪي ڪوڊ متعارف ڪرايو. ڪجھ ڪلاڪن اندر، ڊولپرز پروجيڪٽ جو ڪنٽرول حاصل ڪيو ۽ مسئلو حل ڪرڻ لاءِ اپڊيٽ 0.7.30، 0.8.1 ۽ 1.0.1 ٺاهيا. خراب ورزن شايع ڪيا ويا صرف پيڪيجز طور NPM مخزن ۾. GitHub تي منصوبي جي Git مخزن کي متاثر نه ڪيو ويو. سڀ استعمال ڪندڙ جن مسئلا ورزن انسٽال ڪيا آھن، جيڪڏھن اھي لھندا آھن jsextension فائل Linux/macOS تي، ۽ ونڊوز تي jsextension.exe ۽ create.dll فائلون ملن ٿيون، تن کي صلاح ڏني وڃي ٿي ته سمجھوتي نظام تي غور ڪن.
شامل ڪيل بدسلوڪي تبديليون اڳ ۾ تجويز ڪيل تبديلين جي ياد ڏيارينديون هيون UAParser.js جي ڪلون ۾، جيڪي ظاهر ٿيا ته مکيه منصوبي تي وڏي پيماني تي حملي شروع ڪرڻ کان اڳ ڪارڪردگي کي جانچڻ لاءِ جاري ڪيو ويو. jsextension executable فائل ڊائون لوڊ ڪيو ويو ۽ لانچ ڪيو ويو صارف جي سسٽم تي هڪ خارجي ميزبان کان، جيڪو چونڊيو ويو صارف جي پليٽ فارم تي منحصر ڪيو ويو ۽ لينڪس، MacOS ۽ ونڊوز تي ڪم جي حمايت ڪئي وئي. ونڊوز پليٽ فارم لاءِ، Monero cryptocurrency (XMRig مائنر استعمال ڪيو ويو) جي مائننگ لاءِ پروگرام کان علاوه، حملي آورن پاسورڊ کي روڪڻ ۽ انهن کي ٻاهرين ميزبان ڏانهن موڪلڻ لاءِ create.dll لائبريري جي تعارف کي پڻ منظم ڪيو.
ڊائون لوڊ ڪوڊ شامل ڪيو ويو preinstall.sh فائل ۾، جنهن ۾ داخل ڪريو IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') جيڪڏهن [ -z " $IP" ] ... ڊائون لوڊ ڪريو ۽ ايگزيڪيوٽيبل فائل کي هلائي
جيئن ته ڪوڊ مان ڏسي سگھجي ٿو، اسڪرپٽ پهريون ڀيرو freegeoip.app سروس ۾ IP پتي جي جانچ ڪئي ۽ روس، يوڪرين، بيلاروس ۽ قزاقستان جي استعمال ڪندڙن لاء بدسلوڪي ايپليڪيشن شروع نه ڪئي.
جو ذريعو: opennet.ru