Если ваши сайты содержат ссылки на jquery.com — самое время убрать/заменить, т.к. сайт jQuery.com был взломан! Буквально вчера днем появилось сообщение, что «Зафиксирована атака на инфраструктуру jQuery».
Сообщение было такое: «We have detected a new compromise of jquery.com and are taking action to mitigate the attack. Updates to follow. — jQuery September 24, 2014″.
iFrame переадресовывал на сайт, содержащий RIG exploit kit. В коде страницы jquery.com был текст: «
I’m looking for a new job, I’m so sorry for this experiment with iframe, no one was injured, all files was permanently deleted. Greetz: Umputun, Bobuk, Gray, Ksenks @ radio-t.com My PGP public key is:А вот компания RiskIQ, cпециализирующаяся на разработке связанных с обеспечением безопасности программных продуктов, выявила активность по распространению вредоносного ПО на страницах «jquery.com», через подстановку JavaScript-вставки c организацией перенаправления обращений на подконтрольный атакующим домен «jquery-cdn.com», зарегистрированный несколько дней назад.
С учётом того, что jQuery используемой на более чем половине из 10 тысяч наиболее посещаемых сайтов в сети, поддержание безопасности серверной инфраструктуры проекта является критически важной задачей.
Разработчики провели начальный аудит безопасности серверов и анализ логов и не нашли каких-либо следов деятельности злоумышленников.
Судя по всему атака атака носила единичный характер, так как в случае массовой атаки следовало ждать потока жалоб от пользователей, которые начинают поступать спустя считанные минуты после возникновения каких-либо проблем. Кроме RiskIQ никто не смог подтвердить наличие атаки, но авторитет RiskIQ также не даёт усомниться в реальности атаки.
Кроме того продолжает существовать домен «jquery-cdn.com» и работающий на нём проброс на вредоносное ПО. В настоящее время совместно с RiskIQ проводится боле детальное сопоставление логов.
Утверждается, что атака не затронула работу сервиса по загрузке на сайты JavaScript-библиотеки jQuery. Наиболее вероятным является компрометация сервера, обслуживающего сайт «jquery.com».
Пользователям, посещавшим сайт «jquery.com» 18 сентября, рекомендовано сменить пароль, проверить целостность своих систем и обратить особое внимание на любую подозрительную активность.
Распространяемый в рамках атаки набор эксплоитов RIG направлен на поражение необновлённых Windows-систем и содержит код для эксплуатации уязвимостей в Java, Adobe Flash, Internet Explorer и Silverlight.