একটি জনপ্রিয় জাভাস্ক্রিপ্ট লাইব্রেরি যা প্রধান গ্লোবাল টেকনোলজি ফার্মগুলির দ্বারা ব্যবহৃত হয় হ্যাকারদের দ্বারা ম্যালওয়্যার ছড়ানোর জন্য এবং ক্ষতিগ্রস্থদের মেশিনে পাসওয়ার্ড চুরিকারী এবং ক্রিপ্টোকারেন্সি মাইনার ইনস্টল করার লক্ষ্যে।
UAParser.js জাভাস্ক্রিপ্ট লাইব্রেরি, যা প্রতি সপ্তাহে 7 মিলিয়নেরও বেশি বার অ্যাক্সেস করা হয়, ছোট-পদচিহ্ন ব্যবহারকারী-এজেন্ট ডেটা সনাক্ত করতে ব্যবহৃত হয়, যেমন দর্শকের ব্রাউজার এবং OS, এবং Facebook-এর পছন্দের দ্বারা ব্যবহৃত হয় বলে পরিচিত, Microsoft, Amazon, Reddit এবং আরও অনেক টেক জায়ান্ট।
প্যাকেজটি হাইজ্যাক, যা 22 অক্টোবর সংঘটিত হয়েছিল, একজন হুমকি অভিনেতাকে লিনাক্স এবং উইন্ডোজ মেশিনগুলিকে লক্ষ্য করার জন্য UAParser.js লাইব্রেরির ক্ষতিকারক সংস্করণ প্রকাশ করতে দেখেছিল৷
শুক্রবার ইউএস সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) দ্বারা জারি করা একটি সতর্কতা অনুসারে, ক্ষতিকারক মেশিনে ডাউনলোড করা হলে, ক্ষতিকারক প্যাকেজটি হ্যাকারদের সংবেদনশীল তথ্য পেতে বা তাদের সিস্টেমের নিয়ন্ত্রণ নিতে দিতে পারে।
GitHub-এ অনুষ্ঠিত একটি আলোচনায় প্যাকেজের লেখক ফয়সাল সালমানের মতে, হুমকি অভিনেতা ডেভেলপারের অ্যাকাউন্টে অ্যাক্সেস পেয়েছিলেন এবং সংক্রামিত সংস্করণগুলি বিতরণ করতে এটি ব্যবহার করেছিলেন।
পরিস্থিতির জন্য ক্ষমা চেয়ে সালমান বলেছেন:"আমি অস্বাভাবিক কিছু লক্ষ্য করেছি যখন আমার ইমেল হঠাৎ করে শত শত ওয়েবসাইট থেকে স্প্যাম দ্বারা প্লাবিত হয়েছিল। আমি বিশ্বাস করি যে কেউ আমার এনপিএম অ্যাকাউন্ট হাইজ্যাক করেছে এবং কিছু আপস করা প্যাকেজ প্রকাশ করেছে (0.7.29, 0.8.0, 1.0)। 0) যা সম্ভবত ম্যালওয়্যার ইনস্টল করবে।"
একবার তিনি সংক্রামিত সংস্করণগুলি শনাক্ত করার পরে, সালমান ম্যালওয়্যার থাকার জন্য প্রত্যেকটিকে ফ্ল্যাগ করে প্ল্যাটফর্ম থেকে সরিয়ে দেন।
একজন প্রভাবিত ব্যবহারকারী আপস করা প্যাকেজগুলি বিশ্লেষণ করেছেন এবং একটি স্ক্রিপ্ট আবিষ্কার করেছেন যা তাদের OS ক্রেডেনশিয়াল এবং তাদের Chrome ব্রাউজারের কুকিজ DB ফাইলের একটি অনুলিপি রপ্তানি করার চেষ্টা করেছে।
সোনাটাইপ দ্বারা আরও বিশ্লেষণ, যেমনটি দেখা গেছে ব্লিপিং কম্পিউটার , দেখায় যে ক্ষতিকারক কোডটি শিকারের ডিভাইসে ব্যবহৃত OS পরীক্ষা করবে এবং ব্যবহৃত OS-এর উপর নির্ভর করে একটি Linux শেল স্ক্রিপ্ট বা Windows ব্যাচ ফাইল চালু করবে।
ব্যবহারকারী রাশিয়া, ইউক্রেন, বেলারুশ এবং কাজাখস্তানে অবস্থিত কিনা তা Linux ডিভাইসগুলি পরীক্ষা করার জন্য প্যাকেজটি একটি preinstall.sh স্ক্রিপ্ট শুরু করবে। যদি ডিভাইসটি অন্য কোথাও থাকে, তাহলে স্ক্রিপ্টটি একটি XMRig Monero ক্রিপ্টোকারেন্সি মাইনার ডাউনলোড করবে যা সনাক্তকরণ এড়াতে একজন শিকারের CPU শক্তির 50% ব্যবহার করার জন্য ডিজাইন করা হয়েছে।
উইন্ডোজ ব্যবহারকারীদের জন্য, পাসওয়ার্ড-চুরির ট্রোজান ছাড়াও একই Monero মাইনার ইনস্টল করা হবে, যেটি সোনাটাইপ অনুমান করে যে ডানাবট – একটি ব্যাঙ্কিং ট্রোজান যা সংগঠিত অপরাধ গোষ্ঠী দ্বারা ব্যবহৃত হয়।
আরও বিশ্লেষণে আরও দেখা গেছে যে পাসওয়ার্ড চুরিকারীও একটি PowerShell স্ক্রিপ্ট ব্যবহার করে Windows ক্রেডেনশিয়াল ম্যানেজার থেকে পাসওয়ার্ড চুরি করার চেষ্টা করেছিল।
UAParser.js লাইব্রেরির ব্যবহারকারীদের তাদের প্রকল্পে ব্যবহৃত সংস্করণটি পরীক্ষা করার এবং সর্বশেষ সংস্করণে আপগ্রেড করার পরামর্শ দেওয়া হচ্ছে, যা দূষিত কোড মুক্ত।
একই সপ্তাহে, Sonatype একই ধরনের কোড সম্বলিত আরও তিনটি লাইব্রেরি আবিষ্কার করেছে, আবার ক্রিপ্টোকারেন্সি মাইনারদের সাথে লিনাক্স এবং উইন্ডোজ মেশিনকে লক্ষ্য করে।