Що ж сталось з Інспектором?Сервер став жертвою не цільової атаки, в результаті якої було модифіковано кеш сайту, з додаванням шкідливого скрипта. Це вплинуло на:- duckarchive.com- inspector.duckarchive.comНа щастя, скрипт був досить "мирним", і не робив нічого страшного. Він по таймеру, підміняв клік на сайті, і відкривав сайт казино. Не збирав дані, і не віддворював сам себе. Тож після виправлень на сервері та очищення кешу, користувачам нічого не загрожує.Далі будуть технічні деталі, які можна "не технічним" користувачам пропустити1. Шлях проникненняДоступ до серверу був отриманий через вразливість CVE-2025-66478.Мною були оновлені всі потрібні пакети в день появи інформації про цю проблему, проте не в усіх проєктах, а тільки в тих, що були онлайн:- duckarchive.com- inspector.duckarchive.com+ не були оновлені всі "nested dependencies", і деякі з них теж містили в собі цю вразливість.Через повний рестарт серверу хостингом, деякі "in progress" проєкти, що не містили цих критичних оновлень з'явились онлайн:- catalog.duckarchive.com- index.duckarchive.comТож шлях проникнення міг бути як через вкладені залежності, так і через приховані проєкти, що з'явились онлайн.2. Ціль та ураженняВ інтернеті повідомлялось про аналогічні атаки, тож можна стверджувати, що цей злам був не цільовий, а просто масовий.Було модифіковано скомпільовані файли проєкту, в які було додано шкідливий скрипт (бажаючим, можу надати приклад скрипта, для вивчення).- оригінальний код проєкту не модифіковано/уражено- бекдорів для доступу до серверу не знайдено- бекдорів для адмін доступу до качиних сервісів не знайденоВстановити однозначно, чи був доступ до БД неможливо, проте поверхневий огляд + порівнняня з останнім бекапом не виявили ніяких змін. Теоретично, доступ був і теоретично, зловмисники могли отримати дамп бази. Проте БД не зберігає ніяких сенсетивних даних користувачів, окрім email.3. Дії1. екстренно вимкнуто сервери2. перевірено логи підключень до сервреру (не виявлено сторонніх)3. досліджено вразливість та її можливості. Оновлені всі пакети в усіх залежностях та проєктах4. вивчено injected скрипт5. увімкнено сервери, без доступу до інтернету6. перевірено наявність бекдорів/користувачів/налаштувань в системі7. скинуто токени та ключі до різних платформ8. скинуто паролі до БД9. перевірено логи БД, на наявність дампів, доступів10. відновлено БД з бекапу11. видалено збірки всіх проєктів12. очищено кеш на всіх рівнях13. зібрано проєкт з чистого старту14. запущено онлайн