第300期安全事件

2021/10/25-2021/10/31


英文标题
中文标题 CISA warns of trojanized versions of JavaScript library’s NPM package
作者及单位 Deeba Ahmed
内容概述
据 CISA 称,一个加密挖矿恶意软件隐藏在一个流行的 JavaScript NPM 库 UAParser.js 中。 该库每周的下载量超过 600 万至 800万次,被用于网站和应用程序识别使用的浏览器和系统。NPM 平台于 2020 年成为微软旗下 GitHub 的一部分。据报道,在攻击者成功劫持了维护者的 NPM 账户后,UAParser.js 的三个版本,0.7.29、0.8.0、1.0.0 都被嵌入了恶意代码。经确认,运行任何这些版本的设备都可能允许攻击者访问敏感和机密信息,甚至让他们控制计算机。
新闻链接
https://www.hackread.com/cisa-trojanized-javascript-library-npm-package/