UAParser.js لائبریری کے کوڈ کو کاپی کرنے والے تین نقصان دہ پیکجوں کے NPM ذخیرے سے ہٹانے کی کہانی کو ایک غیر متوقع تسلسل ملا - نامعلوم حملہ آوروں نے UAParser.js پروجیکٹ کے مصنف کے اکاؤنٹ پر قبضہ کر لیا اور اپ ڈیٹس جاری کیے جس میں پاس ورڈ چوری کرنا اور کریپٹو کرنسیوں کی کان کنی کرنا۔
مسئلہ یہ ہے کہ UAParser.js لائبریری، جو User-Agent HTTP ہیڈر کو پارس کرنے کے لیے فنکشنز پیش کرتی ہے، میں فی ہفتہ تقریباً 8 ملین ڈاؤن لوڈز ہوتے ہیں اور اسے 1200 سے زیادہ پروجیکٹس میں بطور انحصار استعمال کیا جاتا ہے۔ بتایا گیا ہے کہ UAParser.js کا استعمال مائیکروسافٹ، ایمیزون، فیس بک، سلیک، ڈسکارڈ، موزیلا، ایپل، پروٹون میل، آٹوڈیسک، ریڈٹ، ویمیو، اوبر، ڈیل، آئی بی ایم، سیمنز، اوریکل، ایچ پی اور ویریسن جیسی کمپنیوں کے منصوبوں میں کیا جاتا ہے۔ .
یہ حملہ پروجیکٹ کے ڈویلپر کے اکاؤنٹ کی ہیکنگ کے ذریعے کیا گیا، جسے اسپام کی ایک غیر معمولی لہر اس کے میل باکس میں آنے کے بعد کچھ غلط ہونے کا احساس ہوا۔ ڈویلپر کا اکاؤنٹ بالکل کیسے ہیک ہوا اس کی اطلاع نہیں دی گئی ہے۔ حملہ آوروں نے 0.7.29، 0.8.0 اور 1.0.0 ریلیز بنائی، ان میں بدنیتی پر مبنی کوڈ متعارف کرایا۔ چند گھنٹوں کے اندر، ڈویلپرز نے پراجیکٹ پر دوبارہ کنٹرول حاصل کر لیا اور مسئلہ کو حل کرنے کے لیے اپ ڈیٹس 0.7.30، 0.8.1 اور 1.0.1 بنائے۔ نقصان دہ ورژن صرف NPM ریپوزٹری میں پیکجز کے طور پر شائع کیے گئے تھے۔ GitHub پر پروجیکٹ کا Git ذخیرہ متاثر نہیں ہوا۔ تمام صارفین جنہوں نے دشواری والے ورژن انسٹال کیے ہیں، اگر وہ لینکس/macOS پر jsextension فائل، اور jsextension.exe اور create.dll فائلیں ونڈوز پر تلاش کرتے ہیں، تو انہیں مشورہ دیا جاتا ہے کہ وہ سسٹم پر سمجھوتہ کرنے پر غور کریں۔
شامل کردہ بدنیتی پر مبنی تبدیلیاں UAParser.js کے کلون میں پہلے تجویز کی گئی تبدیلیوں کی یاد دلاتی تھیں، جو مرکزی پروجیکٹ پر بڑے پیمانے پر حملہ کرنے سے پہلے فعالیت کو جانچنے کے لیے جاری کی گئی تھیں۔ jsextension ایگزیکیوٹیبل فائل کو ایک بیرونی میزبان سے ڈاؤن لوڈ کرکے صارف کے سسٹم پر لانچ کیا گیا تھا، جسے صارف کے پلیٹ فارم اور لینکس، میک او ایس اور ونڈوز پر معاون کام کے لحاظ سے منتخب کیا گیا تھا۔ ونڈوز پلیٹ فارم کے لیے، Monero cryptocurrency کی کان کنی کے پروگرام کے علاوہ (XMRig miner کا استعمال کیا گیا تھا)، حملہ آوروں نے create.dll لائبریری کے تعارف کا بھی اہتمام کیا تاکہ پاس ورڈز کو روکا جا سکے اور انہیں بیرونی میزبان کو بھیج سکے۔
ڈاؤن لوڈ کوڈ کو preinstall.sh فائل میں شامل کیا گیا تھا، جس میں داخل کریں IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') اگر [ -z " $IP" ] ... ڈاؤن لوڈ کریں اور ایگزیکیوٹیبل فائل فائی کو چلائیں۔
جیسا کہ کوڈ سے دیکھا جا سکتا ہے، اسکرپٹ نے سب سے پہلے freegeoip.app سروس میں آئی پی ایڈریس کو چیک کیا اور روس، یوکرین، بیلاروس اور قازقستان کے صارفین کے لیے کوئی نقصاندہ ایپلیکیشن لانچ نہیں کی۔
ماخذ: opennet.ru