Zgodba o odstranitvi treh zlonamernih paketov iz repozitorija NPM, ki so kopirali kodo knjižnice UAParser.js, je dobila nepričakovano nadaljevanje - neznani napadalci so prevzeli nadzor nad računom avtorja projekta UAParser.js in izdali posodobitve s kodo za kraja gesel in rudarjenje kriptovalut.
Težava je v tem, da ima knjižnica UAParser.js, ki ponuja funkcije za razčlenjevanje glave HTTP User-Agent, približno 8 milijonov prenosov na teden in se uporablja kot odvisnost v več kot 1200 projektih. Navedeno je, da se UAParser.js uporablja v projektih podjetij, kot so Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP in Verison. .
Napad je bil izveden z vdorom v račun razvijalca projekta, ki je ugotovil, da je nekaj narobe, potem ko je v njegov nabiralnik padel nenavaden val neželene pošte. Kako natančno je bil vdrt v račun razvijalca, ne poročajo. Napadalci so ustvarili izdaje 0.7.29, 0.8.0 in 1.0.0 ter vanje vnesli zlonamerno kodo. V nekaj urah so razvijalci ponovno prevzeli nadzor nad projektom in ustvarili posodobitve 0.7.30, 0.8.1 in 1.0.1 za odpravo težave. Zlonamerne različice so bile objavljene le kot paketi v repozitoriju NPM. Repozitorij Git projekta na GitHubu ni bil prizadet. Vsem uporabnikom, ki so namestili problematične različice, če najdejo datoteko jsextension v sistemu Linux/macOS ter datoteki jsextension.exe in create.dll v operacijskem sistemu Windows, svetujemo, da menijo, da je sistem ogrožen.
Dodane zlonamerne spremembe so spominjale na spremembe, ki so bile predhodno predlagane v klonih UAParser.js, za katere se je zdelo, da so bile izdane za testiranje funkcionalnosti pred začetkom obsežnega napada na glavni projekt. Izvedljiva datoteka jsextension je bila prenesena in zagnana v uporabnikov sistem z zunanjega gostitelja, ki je bil izbran glede na uporabnikovo platformo in podprto delo v sistemih Linux, macOS in Windows. Za platformo Windows so napadalci poleg programa za rudarjenje kriptovalute Monero (uporabljen je bil rudar XMRig) organizirali tudi uvedbo knjižnice create.dll za prestrezanje gesel in njihovo pošiljanje zunanjemu gostitelju.
Koda za prenos je bila dodana v datoteko preinstall.sh, v kateri je vstavljen IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') if [ -z " $ IP" ] ... prenesite in zaženite izvršljivo datoteko fi
Kot je razvidno iz kode, je skripta najprej preverila naslov IP v storitvi freegeoip.app in ni zagnala zlonamerne aplikacije za uporabnike iz Rusije, Ukrajine, Belorusije in Kazahstana.
Vir: opennet.ru