Historia e heqjes nga depoja NPM e tre paketave me qëllim të keq që kopjuan kodin e bibliotekës UAParser.js mori një vazhdim të papritur - sulmues të panjohur kapën kontrollin e llogarisë së autorit të projektit UAParser.js dhe lëshuan përditësime që përmbajnë kodin për vjedhja e fjalëkalimeve dhe minimi i kriptovalutave.
Problemi është se biblioteka UAParser.js, e cila ofron funksione për analizimin e kokës së përdoruesit-Agjent HTTP, ka rreth 8 milionë shkarkime në javë dhe përdoret si një varësi në më shumë se 1200 projekte. Thuhet se UAParser.js përdoret në projekte të kompanive të tilla si Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP dhe Verison. .
Sulmi u krye përmes hakimit të llogarisë së zhvilluesit të projektit, i cili kuptoi se diçka nuk ishte në rregull pasi një valë e pazakontë e spam-it ra në kutinë e tij postare. Nuk raportohet se si është hakuar saktësisht llogaria e zhvilluesit. Sulmuesit krijuan versionet 0.7.29, 0.8.0 dhe 1.0.0, duke futur kode me qëllim të keq në to. Brenda pak orësh, zhvilluesit rifituan kontrollin e projektit dhe krijuan përditësime 0.7.30, 0.8.1 dhe 1.0.1 për të rregulluar problemin. Versionet me qëllim të keq u publikuan vetëm si paketa në depon e NPM. Depoja e Git e projektit në GitHub nuk u ndikua. Të gjithë përdoruesit që kanë instaluar versione problematike, nëse gjejnë skedarin jsextension në Linux/macOS dhe skedarët jsextension.exe dhe create.dll në Windows, këshillohen ta konsiderojnë sistemin të komprometuar.
Ndryshimet dashakeqe të shtuara të kujtonin ndryshimet e propozuara më parë në klonet e UAParser.js, të cilat dukej se ishin lëshuar për të testuar funksionalitetin përpara se të fillonin një sulm në shkallë të gjerë në projektin kryesor. Skedari i ekzekutueshëm jsextension u shkarkua dhe u nis në sistemin e përdoruesit nga një host i jashtëm, i cili u zgjodh në varësi të platformës së përdoruesit dhe mbështet punën në Linux, macOS dhe Windows. Për platformën Windows, përveç programit për nxjerrjen e kriptomonedhës Monero (u përdor minatori XMRig), sulmuesit organizuan gjithashtu prezantimin e bibliotekës create.dll për të përgjuar fjalëkalimet dhe për t'i dërguar ato në një host të jashtëm.
Kodi i shkarkimit u shtua në skedarin preinstall.sh, në të cilin futni IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') nëse [ -z " $ IP" ] ... shkarkoni dhe ekzekutoni skedarin e ekzekutueshëm fi
Siç mund të shihet nga kodi, skripti së pari kontrolloi adresën IP në shërbimin freegeoip.app dhe nuk nisi një aplikacion me qëllim të keq për përdoruesit nga Rusia, Ukraina, Bjellorusia dhe Kazakistani.
Burimi: opennet.ru