UAParser.js நூலகத்தின் குறியீட்டை நகலெடுத்த மூன்று தீங்கிழைக்கும் தொகுப்புகளின் NPM களஞ்சியத்திலிருந்து அகற்றப்பட்ட கதை எதிர்பாராத தொடர்ச்சியைப் பெற்றது - அறியப்படாத தாக்குபவர்கள் UAParser.js திட்டத்தின் ஆசிரியரின் கணக்கின் கட்டுப்பாட்டைக் கைப்பற்றினர் மற்றும் குறியீட்டைக் கொண்ட புதுப்பிப்புகளை வெளியிட்டனர். கடவுச்சொற்களை திருடுதல் மற்றும் கிரிப்டோகரன்சிகளை சுரங்கப்படுத்துதல்.
சிக்கல் என்னவென்றால், பயனர் முகவர் HTTP தலைப்பைப் பாகுபடுத்துவதற்கான செயல்பாடுகளை வழங்கும் UAParser.js நூலகம், வாரத்திற்கு சுமார் 8 மில்லியன் பதிவிறக்கங்களைக் கொண்டுள்ளது மற்றும் 1200 க்கும் மேற்பட்ட திட்டங்களில் சார்புநிலையாகப் பயன்படுத்தப்படுகிறது. Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Simens, Oracle, HP மற்றும் Verison போன்ற நிறுவனங்களின் திட்டங்களில் UAParser.js பயன்படுத்தப்படுவதாகக் குறிப்பிடப்பட்டுள்ளது. .
திட்ட உருவாக்குநரின் கணக்கை ஹேக் செய்வதன் மூலம் தாக்குதல் நடத்தப்பட்டது, அவர் தனது அஞ்சல் பெட்டியில் ஒரு அசாதாரண அலை ஸ்பேம் விழுந்த பிறகு ஏதோ தவறு இருப்பதை உணர்ந்தார். டெவலப்பரின் கணக்கு எப்படி சரியாக ஹேக் செய்யப்பட்டது என்பது தெரிவிக்கப்படவில்லை. தாக்குபவர்கள் 0.7.29, 0.8.0 மற்றும் 1.0.0 வெளியீடுகளை உருவாக்கி, அவற்றில் தீங்கிழைக்கும் குறியீட்டை அறிமுகப்படுத்தினர். சில மணிநேரங்களில், டெவலப்பர்கள் திட்டத்தின் கட்டுப்பாட்டை மீட்டெடுத்தனர் மற்றும் சிக்கலைச் சரிசெய்ய 0.7.30, 0.8.1 மற்றும் 1.0.1 புதுப்பிப்புகளை உருவாக்கினர். தீங்கிழைக்கும் பதிப்புகள் NPM களஞ்சியத்தில் தொகுப்புகளாக மட்டுமே வெளியிடப்பட்டன. GitHub இல் உள்ள திட்டத்தின் Git களஞ்சியம் பாதிக்கப்படவில்லை. சிக்கல் நிறைந்த பதிப்புகளை நிறுவிய அனைத்து பயனர்களும், Linux/macOS இல் jsextension கோப்பையும், Windows இல் jsextension.exe மற்றும் create.dll கோப்புகளையும் கண்டறிந்தால், கணினி சமரசம் செய்யப்பட்டதாகக் கருதுமாறு அறிவுறுத்தப்படுகிறார்கள்.
சேர்க்கப்பட்ட தீங்கிழைக்கும் மாற்றங்கள் UAParser.js இன் குளோன்களில் முன்னர் முன்மொழியப்பட்ட மாற்றங்களை நினைவூட்டுகின்றன, இது முக்கிய திட்டத்தில் பெரிய அளவிலான தாக்குதலைத் தொடங்குவதற்கு முன் செயல்பாட்டை சோதிக்க வெளியிடப்பட்டது. jsextension இயங்கக்கூடிய கோப்பு வெளிப்புற ஹோஸ்டிலிருந்து பதிவிறக்கம் செய்யப்பட்டு பயனரின் கணினியில் தொடங்கப்பட்டது, இது பயனரின் இயங்குதளத்தைப் பொறுத்து தேர்ந்தெடுக்கப்பட்டது மற்றும் Linux, macOS மற்றும் Windows இல் வேலை செய்யும். Windows இயங்குதளத்திற்கு, Monero Cryptocurrency (XMRig மைனர் பயன்படுத்தப்பட்டது) சுரங்கத் திட்டத்திற்கு கூடுதலாக, தாக்குபவர்கள் கடவுச்சொற்களை இடைமறித்து அவற்றை வெளிப்புற ஹோஸ்டுக்கு அனுப்ப create.dll நூலகத்தின் அறிமுகத்தையும் ஏற்பாடு செய்தனர்.
பதிவிறக்க குறியீடு preinstall.sh கோப்பில் சேர்க்கப்பட்டது, இதில் IP=$(சுருள் -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') என்றால் [ -z " $ IP" ] ... இயங்கக்கூடிய ஃபைலைப் பதிவிறக்கி இயக்கவும்
குறியீட்டிலிருந்து பார்க்க முடியும், ஸ்கிரிப்ட் முதலில் freegeoip.app சேவையில் IP முகவரியைச் சரிபார்த்தது மற்றும் ரஷ்யா, உக்ரைன், பெலாரஸ் மற்றும் கஜகஸ்தான் ஆகிய நாடுகளைச் சேர்ந்த பயனர்களுக்கு தீங்கிழைக்கும் பயன்பாட்டைத் தொடங்கவில்லை.
ஆதாரம்: opennet.ru