UAParser.js లైబ్రరీ కోడ్ను కాపీ చేసిన మూడు హానికరమైన ప్యాకేజీల NPM రిపోజిటరీ నుండి తీసివేయబడిన కథనం ఊహించని కొనసాగింపును పొందింది - తెలియని దాడి చేసే వ్యక్తులు UAParser.js ప్రాజెక్ట్ యొక్క రచయిత ఖాతాపై నియంత్రణను స్వాధీనం చేసుకున్నారు మరియు దాని కోసం కోడ్ను కలిగి ఉన్న నవీకరణలను విడుదల చేశారు పాస్వర్డ్లను దొంగిలించడం మరియు క్రిప్టోకరెన్సీలను తవ్వడం.
సమస్య ఏమిటంటే, UAParser.js లైబ్రరీ, వినియోగదారు-ఏజెంట్ HTTP హెడర్ను అన్వయించడం కోసం ఫంక్షన్లను అందిస్తుంది, వారానికి సుమారు 8 మిలియన్ డౌన్లోడ్లను కలిగి ఉంది మరియు 1200 కంటే ఎక్కువ ప్రాజెక్ట్లలో డిపెండెన్సీగా ఉపయోగించబడుతుంది. Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Simens, Oracle, HP మరియు వెరిసన్ వంటి కంపెనీల ప్రాజెక్ట్లలో UAParser.js ఉపయోగించబడుతుందని పేర్కొంది. .
ప్రాజెక్ట్ డెవలపర్ యొక్క ఖాతాను హ్యాకింగ్ చేయడం ద్వారా దాడి జరిగింది, అతను తన మెయిల్బాక్స్లో అసాధారణమైన స్పామ్ పడిన తర్వాత ఏదో తప్పు జరిగిందని గ్రహించాడు. డెవలపర్ ఖాతా ఎంత ఖచ్చితంగా హ్యాక్ చేయబడిందో నివేదించబడలేదు. దాడి చేసేవారు 0.7.29, 0.8.0 మరియు 1.0.0 విడుదలలను సృష్టించారు, వాటిలో హానికరమైన కోడ్ను ప్రవేశపెట్టారు. కొన్ని గంటల్లోనే, డెవలపర్లు ప్రాజెక్ట్పై నియంత్రణను తిరిగి పొందారు మరియు సమస్యను పరిష్కరించడానికి 0.7.30, 0.8.1 మరియు 1.0.1 నవీకరణలను సృష్టించారు. హానికరమైన సంస్కరణలు NPM రిపోజిటరీలో ప్యాకేజీలుగా మాత్రమే ప్రచురించబడ్డాయి. GitHubపై ప్రాజెక్ట్ యొక్క Git రిపోజిటరీ ప్రభావితం కాలేదు. సమస్యాత్మక సంస్కరణలను ఇన్స్టాల్ చేసిన వినియోగదారులందరూ, Linux/macOSలో jsextension ఫైల్ను మరియు Windowsలో jsextension.exe మరియు create.dll ఫైల్లను కనుగొంటే, సిస్టమ్ రాజీపడినట్లు పరిగణించాలని సూచించారు.
జోడించిన హానికరమైన మార్పులు UAParser.js యొక్క క్లోన్లలో గతంలో ప్రతిపాదించిన మార్పులను గుర్తుకు తెచ్చాయి, ఇది ప్రధాన ప్రాజెక్ట్పై పెద్ద ఎత్తున దాడిని ప్రారంభించే ముందు కార్యాచరణను పరీక్షించడానికి విడుదల చేసినట్లు కనిపించింది. jsextension ఎక్జిక్యూటబుల్ ఫైల్ డౌన్లోడ్ చేయబడింది మరియు బాహ్య హోస్ట్ నుండి వినియోగదారు సిస్టమ్లోకి ప్రారంభించబడింది, ఇది వినియోగదారు ప్లాట్ఫారమ్పై ఆధారపడి ఎంపిక చేయబడింది మరియు Linux, macOS మరియు Windowsలో పని చేయడానికి మద్దతు ఇస్తుంది. Windows ప్లాట్ఫారమ్ కోసం, Monero క్రిప్టోకరెన్సీ (XMRig మైనర్ ఉపయోగించబడింది) మైనింగ్ ప్రోగ్రామ్తో పాటు, దాడి చేసేవారు పాస్వర్డ్లను అడ్డగించడానికి మరియు వాటిని బాహ్య హోస్ట్కు పంపడానికి create.dll లైబ్రరీని పరిచయం చేశారు.
డౌన్లోడ్ కోడ్ preinstall.sh ఫైల్కి జోడించబడింది, దీనిలో IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') ఇన్సర్ట్ [ -z " $ IP" ] ... ఎక్జిక్యూటబుల్ ఫైల్ fiని డౌన్లోడ్ చేసి అమలు చేయండి
కోడ్ నుండి చూడగలిగినట్లుగా, స్క్రిప్ట్ మొదట freegeoip.app సేవలో IP చిరునామాను తనిఖీ చేసింది మరియు రష్యా, ఉక్రెయిన్, బెలారస్ మరియు కజాఖ్స్తాన్ నుండి వినియోగదారుల కోసం హానికరమైన అప్లికేషన్ను ప్రారంభించలేదు.
మూలం: opennet.ru