UAParser.js kitaplığının kodunu NPM deposundan kopyalayan üç kötü amaçlı paketin kaldırılması hikayesi beklenmedik bir şekilde devam etti - bilinmeyen saldırganlar, UAParser.js projesinin yazarının hesabının denetimini ele geçirdi ve şu kodu içeren güncellemeler yayınladı: şifreleri çalmak ve kripto para madenciliği yapmak.
Sorun şu ki, HTTP User-Agent başlığını ayrıştırmak için işlevler sunan UAParser.js kitaplığının haftada yaklaşık 8 milyon indirmesi var ve 1200'den fazla projede bağımlılık olarak kullanılıyor. UAParser.js'nin Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP, Verison gibi şirketler tarafından kullanıldığı iddia ediliyor.
Saldırı, posta kutusuna olağandışı bir spam dalgası düştükten sonra bir şeylerin ters gittiğini fark eden proje geliştiricisinin hesabına girilerek gerçekleştirildi. Geliştiricinin hesabının tam olarak nasıl ele geçirildiği bildirilmiyor. Saldırganlar, bunlara kötü amaçlı kod enjekte ederek 0.7.29, 0.8.0 ve 1.0.0 sürümlerini oluşturdu. Birkaç saat içinde, geliştiriciler projenin kontrolünü yeniden ele geçirdiler ve sorunu çözen 0.7.30, 0.8.1 ve 1.0.1 güncellemelerini oluşturdular. Kötü amaçlı sürümler, NPM deposunda yalnızca paketler halinde yayınlandı. Projenin GitHub'daki Git deposu etkilenmedi. Sorunlu sürümleri kuran tüm kullanıcılara, Linux / macOS'ta jsextension dosyasını ve Windows'ta jsextension.exe ve create.dll dosyalarını bulmaları durumunda, sistemin güvenliğinin ihlal edildiğini düşünmeleri önerilir.
Eklenen kötü amaçlı değişiklikler, ana projeye büyük ölçekli bir saldırı başlatmadan önce işlevselliği test etmek için yayınlanmış gibi görünen UAParser.js klonlarında daha önce önerilenlere benziyordu. Yürütülebilir jsextension dosyası, kullanıcının platformuna bağlı olarak seçilen ve Linux, macOS ve Windows'ta çalışmayı destekleyen harici bir ana bilgisayardan kullanıcının sistemine yüklendi ve başlatıldı. Saldırganlar, Windows platformu için, Monero kripto para madenciliği programına (XMRig madenci kullanıldı) ek olarak, parolaları ele geçirmek ve bunları harici bir ana bilgisayara göndermek için create.dll kitaplığının tanıtımını da organize ettiler.
İndirme kodu, IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') if [ -z " ekini içeren preinstall.sh dosyasına eklendi $ IP" ] ... fi yürütülebilir dosyasını indirin ve çalıştırın
Koddan da görülebileceği gibi, komut dosyası önce freegeoip.app hizmetindeki IP adresini kontrol etti ve Rusya, Ukrayna, Beyaz Rusya ve Kazakistan'dan kullanıcılar için kötü amaçlı bir uygulama başlatmadı.
Kaynak: opennet.ru