美国网络安全和基础设施安全局发布安全警告,UAParser.js 中嵌入了加密货币挖矿和密码窃取的恶意软件,这是一个流行的 JavaScript NPM 库,每周下载量超过 600 万次。
根据网络安全行业门户极牛网GEEKNB.COM的梳理,针对开源库的供应链攻击发现了三个不同的版本,分别是0.7.29、0.8.0、1.0.0,在成功接管维护者的 NPM 帐户后于周四发布了带有恶意代码的版本。
UAParser.js 的开发者表示是有人劫持了其NPM账户并发布了带有恶意软件的软件包。目前该问题已在 0.7.30、0.8.1 和 1.0.1 版本中修复。
几天前,安全研究人员披露了三个软件包(okhsa、klow 和 klown)的详细信息,这些软件包伪装成用户代理字符串解析器实用程序,目标是在 Windows、macOS 和 Linux 系统中挖掘加密货币。目前尚不清楚幕后黑手是否是同一个人。
极牛网精选文章《下载量超600万次的NPM包UAParser.js被植入恶意挖矿程序》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16755.html