روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ مهاجمین ناشناسی چندین نسخه از آرشیو محبوب جاوااسکریپت به نام UAParser.js را با تزریق کد مخرب دستکاری کرده کرده‌اند. به نقل از آمار گزارش‌شده روی صفحه توسعه‌دهندگان، بسیاری از پروژه‌ها از این آرشیو استفاده می‌کنند؛ آرشیوی که هر هفته 6 تا 8 میلیون بار دانلود می‌شود. مهاجمین سه نسخه از این آرشیو را دستکاری کرده‌اند: 0.7.29، 0.8.0 و 1.0.0. همه کاربران و نیز ادمین‌ها باید هر چه سریعتر آرشیوهای خود را به نسخه‌ی 0.7.30، 0.8.1 و 1.0.1 آپدیت کنند.

UAParser.js چیست و چرا محبوب است؟

توسعه‌دهندگان جاوااسکریپت از آرشیو UAParser.js برای تجزیه داده‌های کاربر-عامل[1] که مرورگرها می‌فرستند استفاده می‌کنند. این آرشیو روی بسیاری از وبسایت‌ها پیاده‌سازی می‌شود و همچنین از آن در پروسه توسعه نرم‌افزار بسیاری از شرکت‌ها از جمله فیسبوک، اپل، آمازون، مایکروسافت، اسلک، آی‌بی‌ام، اچ‌پی‌ای، دل، اوراکل، موزیلا و غیره استفاده می‌کنند. افزون بر این، برخی از توسعه‌دهندگان نرم‌افزاری از ابزارهای طرف‌سوم مانند فریم‌ورک کارما برای تست کد استفاده می‌کنند که همچنین بر این آرشیو متکی است. همین مقیاس حمله را با افزودن لینکی اضافی به زنجیره تأمین افزایش می‌دهد.

معرفی کد مخرب

مهاجمین اسکریپت‌های آلوده را در این آرشیو جاگذاری کردند تا کد مخربی را دانلود نموده و آن را روی کامپیوتر قربانیان اجرا کنند (هم لیوکس و هم ویندوز). هدف یکی از ماژول‌ها ماین کردن رمزارز بود. دومی (مخصوص ویندوز) قادر بود اطلاعات محرمانه را از جمله کوکی‌های مرورگر، پسوردها و الاعات سیستم عامل را سرقت کند. با این حال شاید اینها همه ماجرا نباشد: CISA[2] هشدار داده است که نصب آرشیوهای دستکاری‌شده می‌تواند به مهاجمین اجازه دهد تا کنترل سیستم‌های آلوده را در دست گیرند. به نقل از کاربران گیت‌هاب، این بدافزار فایل‌های باینتری درست می‌کند: jsextension (در لینوکس) و jsextension.exe (در ویندوز). حضور این فایل‌ها کاملاً نشان‌دهنده این است که سیستم‌ها دستکاری شده‌اند.

چطور کد مخرب به آرشیو UAParser.js رخنه کرده است؟

فیزال سلمان، توسعه‌دهنده پروژه UAParser.js اظهار کرده که یک مهاجم ناشناس به اکانت او در مخزن npm دسترسی پیدا کرده و سه نسخه آلوده از آرشیو UAParser.js را نشر داده است. این توسعه‌دهنده فوراً هشداری را روی پکیج‌های دستکاری‌شده افزود و با پشتیبانی npm تماس گرفت که همین باعث شد نسخه‌های خطرناک سریعً از ین بروند. با این حال، گرچه این پک‌ها آنلاین بودند اما تعداد قابل‌ملاحظه‌ای از ماشین‌ها می‌توانستند آن را دانلود کنند. ظاهراً آن‌ها برای کمی بیش از 4 ساعت آنلاین بودند (تاریخ 22 اکتبر از ساعت 14:15 تا 18:23 CET). سخت می‌شود دانست چند بار آرشیوهای آلوده در این بازه زمانی دانلود شده‌اند اما محصولات ما چند صد شناسایی فایل در مورد این حمله در سراسر جهان ثبت کردند. این توسعه‌دهنده هنگام عصر متوجه یک فعالیت غیرمعمول اسپم در اینباکس خود شد و ریشه اصلی این مشکل را نیز کشف کرد.

راهکارهای امنیتی

اولین گام بررسی کامپیوترهاست که مطمئن شوید آیا بدافزاری در میان است یا خیر. همه اجزای بدافزار استفاده‌شده در این حمله با موفقیت (توسط محصولات ما) شناسایی شدند. سپس آرشیوهای خود را به نسخه‌های پچ‌شده آپدیت کنید. اما اینها صرفاً کافی نیستند: هر کامپیوتری که روی آن نسخه آلوده‌ی این آرشیو نصب شده و یا اجرا گشته را می‌بایست دستکاری‌شده تلقی کرد. از این رو، کاربران و ادمین‌ها باید همه اطلاعات محرمانه‌ای را که روی این کامپیوترها استفاده می‌کردند تغییر دهند. به طور کلی توسعه یا ساخت محیط‌ها تارگت‌های راحتی برای مهاجمینی هستند که سعی دارند حملات زنجیره تأمین سازماندهی کنند. این یعنی چنین محیط‌هایی سریعاً به محافظت ضدبدافزار نیاز دارند.

[1] User-Agent

[2] US Cybersecurity and Infrastructure Protection Agency

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.