Câu chuyện về việc xóa ba gói độc hại sao chép mã của thư viện UAParser.js khỏi kho NPM đã nhận được sự tiếp nối bất ngờ - những kẻ tấn công không rõ danh tính đã chiếm quyền kiểm soát tài khoản của tác giả dự án UAParser.js và phát hành các bản cập nhật chứa mã cho đánh cắp mật khẩu và khai thác tiền điện tử.
Vấn đề là thư viện UAParser.js, nơi cung cấp các chức năng phân tích cú pháp tiêu đề HTTP Tác nhân người dùng, có khoảng 8 triệu lượt tải xuống mỗi tuần và được sử dụng làm phần phụ thuộc trong hơn 1200 dự án. Người ta tuyên bố rằng UAParser.js được sử dụng trong các dự án của các công ty như Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP và Verison .
Vụ tấn công được thực hiện bằng cách hack tài khoản của một nhà phát triển dự án, người đã nhận ra điều bất thường sau khi nhận được một lượng lớn thư rác bất thường trong hộp thư đến của mình. Cách thức chính xác tài khoản của nhà phát triển bị hack như thế nào vẫn chưa được công bố. Những kẻ tấn công đã tạo ra các phiên bản 0.7.29, 0.8.0 và 1.0.0, và chèn mã độc vào chúng. Trong vòng vài giờ, các nhà phát triển đã giành lại quyền kiểm soát dự án và tạo ra các bản cập nhật 0.7.30, 0.8.1 và 1.0.1 để khắc phục sự cố. Các phiên bản độc hại chỉ được phát hành dưới dạng gói trong kho lưu trữ NPM. Kho lưu trữ Git của dự án trên GitHub không bị ảnh hưởng. Tất cả người dùng đã cài đặt các phiên bản có vấn đề, sau khi phát hiện ra sự cố, đều bị ảnh hưởng. Linux/macOS tệp jsextension và trong Windows Nếu bạn chạy các tệp jsextension.exe và create.dll, hệ thống của bạn có thể đã bị xâm nhập.
Các sửa đổi độc hại được thêm vào tương tự như những sửa đổi đã được đề xuất trước đó trong các bản sao UAParser.js, vốn được phát hành để kiểm tra chức năng trước một cuộc tấn công quy mô lớn vào dự án chính. Một tệp thực thi jsextension đã được tải xuống từ máy chủ bên ngoài và được thực thi trên hệ thống của người dùng. Tệp thực thi jsextension được chọn dựa trên nền tảng của người dùng và được hỗ trợ. Linux, macOS и Windows. Đối với nền tảng Windows Ngoài chương trình khai thác tiền điện tử Monero (đã sử dụng phần mềm khai thác XMRig), những kẻ tấn công còn cài đặt thư viện create.dll để chặn mật khẩu và gửi chúng đến một máy chủ bên ngoài.
Mã tải xuống đã được thêm vào tệp preinstall.sh, trong đó chèn IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') if [ -z " $ IP" ] ... tải xuống và chạy tệp thực thi fi
Có thể thấy từ đoạn mã, tập lệnh đầu tiên kiểm tra địa chỉ IP trong dịch vụ freegeoip.app và không khởi chạy ứng dụng độc hại cho người dùng từ Nga, Ukraine, Belarus và Kazakhstan.
Nguồn: opennet.ru
