UAParser.js kutubxonasi kodini nusxalagan uchta zararli paketlarning NPM omboridan olib tashlanishi haqidagi voqea kutilmagan davom etdi – noma’lum hujumchilar UAParser.js loyihasi muallifining akkauntini nazoratga olishdi va kodni o‘z ichiga olgan yangilanishlarni chiqarishdi. parollarni o'g'irlash va kriptovalyutalarni qazib olish.
Muammo shundaki, User-Agent HTTP sarlavhasini tahlil qilish funksiyalarini taklif qiluvchi UAParser.js kutubxonasi haftasiga 8 millionga yaqin yuklashga ega va 1200 dan ortiq loyihalarda qaramlik sifatida ishlatiladi. Taʼkidlanishicha, UAParser.js Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP va Verison kabi kompaniyalarning loyihalarida qoʻllaniladi. .
Hujum pochta qutisiga noodatiy spam to‘lqini tushganidan keyin nimadir noto‘g‘ri ekanligini tushungan loyiha ishlab chiquvchisining akkauntini buzish orqali amalga oshirilgan. Ishlab chiquvchining akkaunti qanday qilib buzib kirilgani haqida xabar berilmagan. Hujumchilar 0.7.29, 0.8.0 va 1.0.0 relizlarini yaratib, ularga zararli kodni kiritdilar. Bir necha soat ichida ishlab chiquvchilar loyiha ustidan nazoratni tikladilar va muammoni bartaraf etish uchun 0.7.30, 0.8.1 va 1.0.1 yangilanishlarini yaratdilar. Zararli versiyalar faqat NPM omborida paketlar sifatida nashr etilgan. Loyihaning GitHub’dagi Git omboriga ta’sir ko‘rsatmadi. Muammoli versiyalarni o'rnatgan barcha foydalanuvchilarga, agar ular Linux/macOS da jsextension faylini, Windowsda jsextension.exe va create.dll fayllarini topsalar, tizimni buzilgan deb hisoblashlari tavsiya etiladi.
Qo'shilgan zararli o'zgarishlar UAParser.js klonlarida ilgari taklif qilingan o'zgarishlarni eslatdi, ular asosiy loyihaga keng ko'lamli hujumni boshlashdan oldin funksionallikni sinab ko'rish uchun chiqarilgan ko'rinadi. jsextension bajariladigan fayli yuklab olindi va foydalanuvchi tizimiga tashqi xostdan ishga tushirildi, u foydalanuvchi platformasiga va Linux, macOS va Windows da qoʻllab-quvvatlanadigan ishiga qarab tanlandi. Windows platformasi uchun Monero kriptovalyutasini qazib olish dasturidan tashqari (XMRig konchi ishlatilgan) tajovuzkorlar parollarni ushlab qolish va ularni tashqi xostga jo‘natish uchun create.dll kutubxonasini joriy etishni ham tashkil qilishgan.
Yuklab olish kodi preinstall.sh fayliga qo'shildi, unda IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') qo'shiladi, agar [ -z " bo'lsa. $ IP" ] ... bajariladigan fi faylini yuklab oling va ishga tushiring
Koddan ko'rinib turibdiki, skript birinchi navbatda freegeoip.app xizmatida IP-manzilni tekshirgan va Rossiya, Ukraina, Belarus va Qozog'iston foydalanuvchilari uchun zararli dasturni ishga tushirmagan.
Manba: opennet.ru