HELPSOC мнение: Внимание инкогнитам: читайте в конце
Библиотека UAParser.js, которая предлагает функции для разбора HTTP-заголовка User-Agent, насчитывает около 8 млн загрузок в неделю и используется в качестве зависимости в более чем 1200 проектах.
Заявлено, что UAParser.js применяется в проектах таких компаний, как Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP и Verizon. [more…]
Атака была совершена через взлом учётной записи разработчика проекта
. Атакующие сформировали выпуски 0.7.29, 0.8.0 и 1.0.0, внедрив в них вредоносный код.
В течение нескольких часов разработчики вернули контроль над проектом и сформировали обновления 0.7.30, 0.8.1 и 1.0.1 c устранением проблемы. Вредоносные версии были опубликованы только в виде пакетов в NPM-репозитории.
Git-репозиторий проекта на GitHub не пострадал.
Всем пользователям, установившим проблемные версии, при обнаружении в Linux файла jsextension, а в Windows файлов jsextension.exe и create.dll, рекомендуется считать систему скомпрометированной и поменять на ней пароли, ключи и сертификаты безопасности.
На систему пользователя с внешнего хоста загружался и запускался исполняемый файл jsextension, который выбирался в зависимости от платформы пользователя и был подготовлен в вариантах для Linux и Windows.
Для платформы Windows, помимо программы для майнинга криптовалюты Monero (использовался майнер XMRig),
злоумышленниками также было организовано внедрение библиотеки create.dll для перехвата паролей и их отправки на внешний хост.
HELPSOC мнение: Внимание инкогнитам: Если Вам неизвестно, что такое пакеты и их обновления, то всё, что Вам следует сделать это BACKUP или сохранить важные файлы на внешний носитель,
затем проверить наличие и уничтожить файлы указанные в статье,
проверить работоспособность и спать спокойно.
тэги: HELPSOC мнение:, inkognito, BACKUP, Для загрузки вредоносных компонентов в файл preinstall.sh, майнер XMRig, NPM-репозитории, программы для майнинга, криптовалюты Monero, внедрение библиотеки, перехвата паролей, перехвата паролей, файл jsextension, UAParser.js, Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP и Verizon,
tags: HELPSOC мнение:, inkognito, BACKUP, Для загрузки вредоносных компонентов в файл preinstall.sh, майнер XMRig, NPM-репозитории, программы для майнинга, криптовалюты Monero, внедрение библиотеки, перехвата паролей, перехвата паролей, файл jsextension, UAParser.js, Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP и Verizon.
