روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ مهاجمین ناشناسی چندین نسخه از آرشیو محبوب جاوااسکریپت به نام UAParser.js را با تزریق کد مخرب دستکاری کرده کردهاند. به نقل از آمار گزارششده روی صفحه توسعهدهندگان، بسیاری از پروژهها از این آرشیو استفاده میکنند؛ آرشیوی که هر هفته 6 تا 8 میلیون بار دانلود میشود. مهاجمین سه نسخه از این آرشیو را دستکاری کردهاند: 0.7.29، 0.8.0 و 1.0.0. همه کاربران و نیز ادمینها باید هر چه سریعتر آرشیوهای خود را به نسخهی 0.7.30، 0.8.1 و 1.0.1 آپدیت کنند.
UAParser.js چیست و چرا محبوب است؟
توسعهدهندگان جاوااسکریپت از آرشیو UAParser.js برای تجزیه دادههای کاربر-عامل[1] که مرورگرها میفرستند استفاده میکنند. این آرشیو روی بسیاری از وبسایتها پیادهسازی میشود و همچنین از آن در پروسه توسعه نرمافزار بسیاری از شرکتها از جمله فیسبوک، اپل، آمازون، مایکروسافت، اسلک، آیبیام، اچپیای، دل، اوراکل، موزیلا و غیره استفاده میکنند. افزون بر این، برخی از توسعهدهندگان نرمافزاری از ابزارهای طرفسوم مانند فریمورک کارما برای تست کد استفاده میکنند که همچنین بر این آرشیو متکی است. همین مقیاس حمله را با افزودن لینکی اضافی به زنجیره تأمین افزایش میدهد.
معرفی کد مخرب
مهاجمین اسکریپتهای آلوده را در این آرشیو جاگذاری کردند تا کد مخربی را دانلود نموده و آن را روی کامپیوتر قربانیان اجرا کنند (هم لیوکس و هم ویندوز). هدف یکی از ماژولها ماین کردن رمزارز بود. دومی (مخصوص ویندوز) قادر بود اطلاعات محرمانه را از جمله کوکیهای مرورگر، پسوردها و الاعات سیستم عامل را سرقت کند. با این حال شاید اینها همه ماجرا نباشد: CISA[2] هشدار داده است که نصب آرشیوهای دستکاریشده میتواند به مهاجمین اجازه دهد تا کنترل سیستمهای آلوده را در دست گیرند. به نقل از کاربران گیتهاب، این بدافزار فایلهای باینتری درست میکند: jsextension (در لینوکس) و jsextension.exe (در ویندوز). حضور این فایلها کاملاً نشاندهنده این است که سیستمها دستکاری شدهاند.
چطور کد مخرب به آرشیو UAParser.js رخنه کرده است؟
فیزال سلمان، توسعهدهنده پروژه UAParser.js اظهار کرده که یک مهاجم ناشناس به اکانت او در مخزن npm دسترسی پیدا کرده و سه نسخه آلوده از آرشیو UAParser.js را نشر داده است. این توسعهدهنده فوراً هشداری را روی پکیجهای دستکاریشده افزود و با پشتیبانی npm تماس گرفت که همین باعث شد نسخههای خطرناک سریعً از ین بروند. با این حال، گرچه این پکها آنلاین بودند اما تعداد قابلملاحظهای از ماشینها میتوانستند آن را دانلود کنند. ظاهراً آنها برای کمی بیش از 4 ساعت آنلاین بودند (تاریخ 22 اکتبر از ساعت 14:15 تا 18:23 CET). سخت میشود دانست چند بار آرشیوهای آلوده در این بازه زمانی دانلود شدهاند اما محصولات ما چند صد شناسایی فایل در مورد این حمله در سراسر جهان ثبت کردند. این توسعهدهنده هنگام عصر متوجه یک فعالیت غیرمعمول اسپم در اینباکس خود شد و ریشه اصلی این مشکل را نیز کشف کرد.
راهکارهای امنیتی
اولین گام بررسی کامپیوترهاست که مطمئن شوید آیا بدافزاری در میان است یا خیر. همه اجزای بدافزار استفادهشده در این حمله با موفقیت (توسط محصولات ما) شناسایی شدند. سپس آرشیوهای خود را به نسخههای پچشده آپدیت کنید. اما اینها صرفاً کافی نیستند: هر کامپیوتری که روی آن نسخه آلودهی این آرشیو نصب شده و یا اجرا گشته را میبایست دستکاریشده تلقی کرد. از این رو، کاربران و ادمینها باید همه اطلاعات محرمانهای را که روی این کامپیوترها استفاده میکردند تغییر دهند. به طور کلی توسعه یا ساخت محیطها تارگتهای راحتی برای مهاجمینی هستند که سعی دارند حملات زنجیره تأمین سازماندهی کنند. این یعنی چنین محیطهایی سریعاً به محافظت ضدبدافزار نیاز دارند.
[1] User-Agent
[2] US Cybersecurity and Infrastructure Protection Agency
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
