Nakatanggap ng hindi inaasahang pagpapatuloy ang kuwento ng pag-alis sa repository ng NPM ng tatlong nakakahamak na pakete na kinopya ang code ng library ng UAParser.js - kinuha ng hindi kilalang mga umaatake ang kontrol sa account ng may-akda ng proyekto ng UAParser.js at naglabas ng mga update na naglalaman ng code para sa pagnanakaw ng mga password at pagmimina ng mga cryptocurrencies.
Ang problema ay ang library ng UAParser.js, na nag-aalok ng mga function para sa pag-parse ng User-Agent HTTP header, ay may humigit-kumulang 8 milyong pag-download bawat linggo at ginagamit bilang isang dependency sa higit sa 1200 na proyekto. Nakasaad na ang UAParser.js ay ginagamit sa mga proyekto ng mga kumpanya tulad ng Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP at Verrison .
Ang pag-atake ay isinagawa sa pamamagitan ng pag-hack ng account ng developer ng proyekto, na napagtanto na may mali matapos ang isang hindi pangkaraniwang alon ng spam na nahulog sa kanyang mailbox. Hindi iniuulat kung paano eksaktong na-hack ang account ng developer. Ang mga umaatake ay lumikha ng mga release na 0.7.29, 0.8.0 at 1.0.0, na naglalagay ng malisyosong code sa kanila. Sa loob ng ilang oras, nabawi ng mga developer ang kontrol sa proyekto at gumawa ng mga update 0.7.30, 0.8.1 at 1.0.1 upang ayusin ang problema. Na-publish lang ang mga nakakahamak na bersyon bilang mga pakete sa repositoryo ng NPM. Hindi naapektuhan ang Git repository ng proyekto sa GitHub. Lahat ng mga user na nag-install ng mga may problemang bersyon, kung nakita nila ang jsextension file sa Linux/macOS, at ang jsextension.exe at create.dll file sa Windows, ay pinapayuhan na isaalang-alang ang system na nakompromiso.
Ang mga nakakahamak na pagbabagong idinagdag ay nakapagpapaalaala sa mga pagbabagong dati nang iminungkahi sa mga clone ng UAParser.js, na lumalabas na inilabas upang subukan ang functionality bago maglunsad ng malakihang pag-atake sa pangunahing proyekto. Ang jsextension executable file ay na-download at inilunsad sa system ng user mula sa isang external na host, na pinili depende sa platform ng user at suportadong trabaho sa Linux, macOS at Windows. Para sa platform ng Windows, bilang karagdagan sa programa para sa pagmimina ng Monero cryptocurrency (ginamit ang minero ng XMRig), inayos din ng mga umaatake ang pagpapakilala ng create.dll library upang maharang ang mga password at ipadala ang mga ito sa isang panlabas na host.
Ang download code ay idinagdag sa preinstall.sh file, kung saan ang insert IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') kung [ -z " $ IP" ] ... i-download at patakbuhin ang executable file fi
Tulad ng makikita mula sa code, sinuri muna ng script ang IP address sa serbisyo ng freegeoip.app at hindi naglunsad ng malisyosong application para sa mga user mula sa Russia, Ukraine, Belarus at Kazakhstan.
Pinagmulan: opennet.ru