Прича о уклањању три злонамерна пакета који су копирали код библиотеке УАПарсер.јс из НПМ спремишта добила је неочекивани наставак – непознати нападачи су преузели контролу над налогом аутора пројекта УАПарсер.јс и пустили исправке које садрже код за крађу лозинки и рударе криптовалуте.
Проблем је у томе што библиотека УАПарсер.јс, која нуди функције за рашчлањивање заглавља ХТТП Усер-Агент, има око 8 милиона преузимања недељно и користи се као зависност у преко 1200 пројеката. Тврди се да УАПарсер.јс користе компаније као што су Мицрософт, Амазон, Фацебоок, Слацк, Дисцорд, Мозилла, Аппле, ПротонМаил, Аутодеск, Реддит, Вимео, Убер, Делл, ИБМ, Сиеменс, Орацле, ХП и Верисон.
Напад је изведен хаковањем налога програмера пројекта, који је схватио да нешто није у реду након што је необичан талас нежељене поште пао у његово поштанско сандуче. Није објављено како је тачно налог програмера хакован. Нападачи су креирали издања 0.7.29, 0.8.0 и 1.0.0 убацивањем злонамерног кода у њих. У року од неколико сати, програмери су повратили контролу над пројектом и генерисали исправке 0.7.30, 0.8.1 и 1.0.1 које су решиле проблем. Злонамерне верзије су објављене само као пакети у НПМ спремишту. Гит спремиште пројекта на ГитХуб-у није погођено. Свим корисницима који су инсталирали проблематичне верзије, ако пронађу датотеку јсектенсион на Линук/мацОС-у и датотеке јсектенсион.еке и цреате.длл на Виндовс-у, саветујемо да размотре систем компромитован.
Додане злонамерне промене биле су сличне онима које су претходно предложене у клоновима УАПарсер.јс, за које се чини да су пуштени да тестирају функционалност пре покретања напада великих размера на главни пројекат. Извршна датотека јсектенсион је учитана и покренута на корисниковом систему са спољног хоста, који је изабран у зависности од платформе корисника и подржаног рада на Линук-у, мацОС-у и Виндовс-у. За Виндовс платформу, поред програма за рударење криптовалута Монеро (коришћен је КСМРиг рудар), нападачи су организовали и увођење библиотеке цреате.длл за пресретање лозинки и њихово слање на спољни хост.
Код за преузимање је додат у датотеку преинсталл.сх, која је укључивала уметање ИП=$(цурл -к хттпс://фреегеоип.апп/кмл/ | греп 'РУ|УА|БИ|КЗ') ако је [ -з " $ ИП" ] ... преузмите и покрените извршну датотеку фи
Као што се види из кода, скрипта је прво проверила ИП адресу у сервису фреегеоип.апп и није покренула злонамерну апликацију за кориснике из Русије, Украјине, Белорусије и Казахстана.
Извор: опеннет.ру