Câu chuyện về việc xóa ba gói độc hại sao chép mã của thư viện UAParser.js khỏi kho NPM đã nhận được sự tiếp nối bất ngờ - những kẻ tấn công không rõ danh tính đã chiếm quyền kiểm soát tài khoản của tác giả dự án UAParser.js và phát hành các bản cập nhật chứa mã cho đánh cắp mật khẩu và khai thác tiền điện tử.
Vấn đề là thư viện UAParser.js, nơi cung cấp các chức năng phân tích cú pháp tiêu đề HTTP Tác nhân người dùng, có khoảng 8 triệu lượt tải xuống mỗi tuần và được sử dụng làm phần phụ thuộc trong hơn 1200 dự án. Người ta tuyên bố rằng UAParser.js được sử dụng trong các dự án của các công ty như Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP và Verison .
Cuộc tấn công được thực hiện thông qua việc hack tài khoản của nhà phát triển dự án, người này nhận ra có điều gì đó không ổn sau khi một làn sóng thư rác bất thường rơi vào hộp thư của anh ta. Tài khoản của nhà phát triển bị hack chính xác như thế nào không được báo cáo. Những kẻ tấn công đã tạo ra các bản phát hành 0.7.29, 0.8.0 và 1.0.0, đưa mã độc vào chúng. Trong vòng vài giờ, các nhà phát triển đã giành lại quyền kiểm soát dự án và tạo ra các bản cập nhật 0.7.30, 0.8.1 và 1.0.1 để khắc phục sự cố. Các phiên bản độc hại chỉ được xuất bản dưới dạng gói trong kho NPM. Kho Git của dự án trên GitHub không bị ảnh hưởng. Tất cả người dùng đã cài đặt các phiên bản có vấn đề, nếu họ tìm thấy tệp jsextension trên Linux/macOS cũng như các tệp jsextension.exe và create.dll trên Windows, nên xem xét hệ thống đã bị xâm phạm.
Những thay đổi độc hại được thêm vào gợi nhớ đến những thay đổi được đề xuất trước đây trong các bản sao của UAParser.js, dường như được phát hành để kiểm tra chức năng trước khi tiến hành một cuộc tấn công quy mô lớn vào dự án chính. Tệp thực thi jsextension đã được tải xuống và khởi chạy trên hệ thống của người dùng từ máy chủ bên ngoài, tệp này được chọn tùy thuộc vào nền tảng của người dùng và công việc được hỗ trợ trên Linux, macOS và Windows. Đối với nền tảng Windows, ngoài chương trình khai thác tiền điện tử Monero (công cụ khai thác XMRig đã được sử dụng), những kẻ tấn công còn tổ chức giới thiệu thư viện create.dll để chặn mật khẩu và gửi chúng đến máy chủ bên ngoài.
Mã tải xuống đã được thêm vào tệp preinstall.sh, trong đó chèn IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') if [ -z " $ IP" ] ... tải xuống và chạy tệp thực thi fi
Có thể thấy từ đoạn mã, tập lệnh đầu tiên kiểm tra địa chỉ IP trong dịch vụ freegeoip.app và không khởi chạy ứng dụng độc hại cho người dùng từ Nga, Ukraine, Belarus và Kazakhstan.
Nguồn: opennet.ru