從 NPM 儲存庫中刪除三個複製 UAParser.js 庫程式碼的惡意軟體包的故事得到了意想不到的延續——未知攻擊者控制了 UAParser.js 專案作者的帳戶,並發布了包含以下程式碼的更新:竊取密碼和挖礦加密貨幣。
問題在於,UAParser.js 函式庫提供了解析 User-Agent HTTP 標頭的功能,每週下載量約 8 萬次,並在 1200 多個專案中用作依賴項。據稱,UAParser.js 用於 Microsoft、Amazon、Facebook、Slack、Discord、Mozilla、Apple、ProtonMail、Autodesk、Reddit、Vimeo、Uber、Dell、IBM、Siemens、Oracle、HP 和 Verison 等公司的專案中。
這次攻擊是透過駭客入侵專案開發人員的帳戶來進行的,當一波不尋常的垃圾郵件落入他的郵箱後,專案開發人員意識到出了問題。開發者的帳號究竟是如何被駭客入侵的,目前還沒有報道。攻擊者創建了 0.7.29、0.8.0 和 1.0.0 版本,並在其中引入了惡意程式碼。幾個小時內,開發人員重新控制了該項目,並創建了更新 0.7.30、0.8.1 和 1.0.1 來解決該問題。惡意版本僅作為 NPM 儲存庫中的套件發布。該專案在 GitHub 上的 Git 儲存庫沒有受到影響。所有安裝有問題版本的用戶,如果在 Linux/macOS 上發現 jsextension 文件,在 Windows 上發現 jsextension.exe 和 create.dll 文件,建議考慮系統已被入侵。
新增的惡意變更讓人想起先前在 UAParser.js 克隆中提出的更改,這些更改似乎是在對主專案發動大規模攻擊之前發布的,以測試功能。 jsextension 執行檔從外部主機下載並啟動到使用者的系統上,該主機根據使用者的平台以及 Linux、macOS 和 Windows 上支援的工作進行選擇。對於Windows平台,除了挖掘門羅幣加密貨幣的程式(使用了XMRig礦工)外,攻擊者還組織引入create.dll庫來攔截密碼並將其發送到外部主機。
下載程式碼已新增至 preinstall.sh 檔案中,其中插入 IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU|UA|BY|KZ') if [ -z " $ IP" ] ...下載並運行可執行檔fi
從程式碼可以看出,該腳本首先檢查了freegeoip.app服務中的IP位址,並沒有針對來自俄羅斯、烏克蘭、白俄羅斯和哈薩克的用戶啟動惡意應用程式。
來源: opennet.ru