Carita panyabutan tina gudang NPM tina tilu bungkusan jahat anu nyalin kodeu perpustakaan UAParser.js nampi tuluyan anu teu kaduga - panyerang anu teu dipikanyaho ngarebut kontrol akun panulis proyék UAParser.js sareng ngaluarkeun apdet anu ngandung kode pikeun maok kecap akses jeung cryptocurrencies pertambangan.
Masalahna nyaeta perpustakaan UAParser.js, nu nawarkeun fungsi pikeun parsing lulugu HTTP pamaké-Agen, boga ngeunaan 8 juta undeuran per minggu sarta dipaké salaku kagumantungan dina leuwih ti 1200 proyék. Disebutkeun yén UAParser.js dianggo dina proyék-proyék perusahaan sapertos Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP sareng Verison .
Serangan éta dilaksanakeun ngaliwatan hacking akun pamekar proyék, anu sadar yén aya anu salah saatos gelombang spam anu teu biasa murag kana kotak surat na. Kumaha persisna akun pamekar diretas henteu dilaporkeun. Para panyerang nyiptakeun sékrési 0.7.29, 0.8.0 sareng 1.0.0, ngenalkeun kode jahat ka aranjeunna. Dina sababaraha jam, pamekar meunangkeun deui kadali proyék jeung dijieun apdet 0.7.30, 0.8.1 jeung 1.0.1 pikeun ngalereskeun masalah. Versi jahat diterbitkeun ngan ukur salaku bungkusan dina gudang NPM. Repository Git proyék di GitHub henteu kapangaruhan. Sadaya pangguna anu parantos masang versi anu bermasalah, upami aranjeunna mendakan file jsextension dina Linux/macOS, sareng file jsextension.exe sareng create.dll dina Windows, disarankan pikeun nganggap yén sistemna dikompromi.
Parobahan jahat ditambahkeun éta reminiscent tina parobahan saméméhna diusulkeun dina clones of UAParser.js, nu mucunghul dileupaskeun pikeun nguji fungsionalitas saméméh launching serangan skala badag dina proyék utama. File eksekusi jsextension diunduh sareng diluncurkeun kana sistem pangguna tina host éksternal, anu dipilih gumantung kana platform pangguna sareng karya anu dirojong dina Linux, macOS sareng Windows. Pikeun platform Windows, sajaba program pikeun pertambangan cryptocurrency Monero (panambang XMRig dipaké), panyerang ogé dikelompokeun bubuka perpustakaan create.dll pikeun intercept kecap akses sarta ngirimkeunana ka host éksternal.
Kodeu undeuran ieu ditambahkeun kana file preinstall.sh, dimana lebetkeun IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') lamun [ -z " $ IP" ] ... undeur tur ngajalankeun file executable fi
Salaku bisa ditempo ti kode, naskah munggaran dipariksa alamat IP dina layanan freegeoip.app sarta henteu ngajalankeun aplikasi jahat pikeun pamaké ti Rusia, Ukraina, Bélarus jeung Kazakhstan.
sumber: opennet.ru