Hadithi ya kuondolewa kutoka kwa hazina ya NPM ya vifurushi vitatu hasidi ambavyo vilinakili msimbo wa maktaba ya UAParser.js ilipata mwendelezo usiotarajiwa - washambuliaji wasiojulikana walichukua udhibiti wa akaunti ya mwandishi wa mradi wa UAParser.js na kutoa sasisho zilizo na msimbo wa kuiba nywila na fedha za siri za madini.
Shida ni kwamba maktaba ya UAParser.js, ambayo hutoa utendaji wa kuchanganua kichwa cha HTTP cha Wakala wa Mtumiaji, ina vipakuliwa takriban milioni 8 kwa wiki na hutumiwa kama tegemezi katika zaidi ya miradi 1200. Imeelezwa kuwa UAParser.js inatumika katika miradi ya makampuni kama vile Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP na Verison. .
Shambulio hilo lilitekelezwa kupitia udukuzi wa akaunti ya msanidi wa mradi, ambaye aligundua kuwa kuna kitu kibaya baada ya wimbi lisilo la kawaida la barua taka kuanguka kwenye kisanduku chake cha barua. Jinsi hasa akaunti ya msanidi programu ilidukuliwa haijaripotiwa. Washambuliaji waliunda matoleo 0.7.29, 0.8.0 na 1.0.0, wakianzisha msimbo hasidi ndani yao. Ndani ya saa chache, wasanidi walipata tena udhibiti wa mradi na kuunda sasisho 0.7.30, 0.8.1 na 1.0.1 ili kurekebisha tatizo. Matoleo hasidi yalichapishwa tu kama vifurushi kwenye hazina ya NPM. Hifadhi ya Git ya mradi kwenye GitHub haikuathiriwa. Watumiaji wote ambao wamesakinisha matoleo yenye matatizo, ikiwa watapata faili ya jsextension kwenye Linux/macOS, na faili za jsextension.exe na create.dll kwenye Windows, wanashauriwa kuzingatia mfumo kuwa umeathirika.
Mabadiliko hasidi yaliyoongezwa yalikumbusha mabadiliko yaliyopendekezwa hapo awali katika clones za UAParser.js, ambazo zilionekana kutolewa ili kujaribu utendakazi kabla ya kuanzisha mashambulizi makubwa kwenye mradi mkuu. Faili inayoweza kutekelezwa ya jsextension ilipakuliwa na kuzinduliwa kwenye mfumo wa mtumiaji kutoka kwa seva pangishi ya nje, ambayo ilichaguliwa kulingana na jukwaa la mtumiaji na kazi inayotumika kwenye Linux, macOS na Windows. Kwa jukwaa la Windows, pamoja na mpango wa kuchimba madini ya cryptocurrency ya Monero (mchimbaji XMRig alitumiwa), washambuliaji pia walipanga kuanzishwa kwa maktaba ya create.dll ili kunasa nywila na kuzituma kwa mwenyeji wa nje.
Nambari ya upakuaji iliongezwa kwenye faili iliyosakinishwa awali.sh, ambamo weka IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') ikiwa [ -z " $ IP" ] ... pakua na endesha faili inayoweza kutekelezwa fi
Kama inavyoonekana kwenye msimbo, hati ilikagua kwanza anwani ya IP katika huduma ya freegeoip.app na haikuanzisha programu hasidi kwa watumiaji kutoka Urusi, Ukrainia, Belarus na Kazakhstan.
Chanzo: opennet.ru