Ҳикояи нест кардани се бастаи зараровар, ки рамзи китобхонаи UAParser.js-ро аз анбори NPM нусхабардорӣ кардаанд, идомаи ғайричашмдошт гирифт - ҳамлагарони номаълум назорати ҳисоби муаллифи лоиҳаи UAParser.js-ро ба даст оварданд ва навсозиҳои дорои рамзи дуздидани паролҳо ва истихроҷи cryptocurrencies.
Мушкилот дар он аст, ки китобхонаи UAParser.js, ки функсияҳоро барои таҳлили сарлавҳаи HTTP User-Agent пешниҳод мекунад, дар як ҳафта тақрибан 8 миллион боргирӣ дорад ва дар зиёда аз 1200 лоиҳа ҳамчун вобастагӣ истифода мешавад. Гуфта мешавад, ки UAParser.js аз ҷониби ширкатҳои монанди Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP ва Verison истифода мешавад.
Ҳамла тавассути ҳакерӣ ба ҳисоби таҳиягари лоиҳа сурат гирифт, ки пас аз он ки мавҷи ғайриоддии спам ба қуттии почтаи ӯ афтод, чизе нодуруст аст. Дар бораи чӣ гуна рахна шудани ҳисоби таҳиягар гузориш дода нашудааст. Ҳамлагарон релизҳои 0.7.29, 0.8.0 ва 1.0.0-ро тавассути ворид кардани рамзи зараровар ба онҳо эҷод карданд. Дар давоми чанд соат, таҳиягарон назорати лоиҳаро дубора ба даст оварданд ва навсозиҳои 0.7.30, 0.8.1 ва 1.0.1-ро тавлид карданд, ки мушкилотро ҳал мекунанд. Версияҳои зараровар танҳо ҳамчун бастаҳо дар анбори NPM нашр шуданд. Ба анбори Git лоиҳа дар GitHub таъсир нарасонд. Ба ҳама корбароне, ки версияҳои мушкилотро насб кардаанд, агар онҳо файли jsextension-ро дар Linux/macOS ва файлҳои jsextension.exe ва create.dll-ро дар Windows пайдо кунанд, тавсия дода мешавад, ки системаро осеб дидаанд.
Тағироти шубҳаноки иловашуда ба онҳое, ки қаблан дар клонҳои UAParser.js пешниҳод шуда буданд, шабеҳ буданд, ки ба назар чунин мерасанд, ки пеш аз оғози ҳамлаи васеъмиқёс ба лоиҳаи асосӣ барои санҷиши функсия бароварда шудаанд. Файли иҷрошавандаи jsextension дар системаи корбар аз ҳости беруна, ки вобаста ба платформаи корбар ва кори дастгирӣ дар Linux, macOS ва Windows интихоб шуда буд, бор карда шуд ва ба кор андохта шуд. Барои платформаи Windows, ба ғайр аз барномаи истихроҷи cryptocurrency Monero (минери XMRig истифода шудааст), ҳамлагарон инчунин ҷорӣ кардани китобхонаи create.dll-ро барои боздоштани паролҳо ва фиристодани онҳо ба мизбони беруна ташкил карданд.
Рамзи зеркашӣ ба файли preinstall.sh илова карда шуд, ки дар он дохил кардани IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') агар [ -z " $ IP" ] ... файли иҷрошавандаи fi-ро зеркашӣ ва иҷро кунед
Тавре ки аз рамз дида мешавад, скрипт аввал суроғаи IP-ро дар хидмати freegeoip.app тафтиш карда, барои корбарони Русия, Украина, Белорус ва Қазоқистон як барномаи зарароварро оғоз накардааст.
Манбаъ: opennet.ru