第300期安全事件
2021/10/25-2021/10/31
| 英文标题 | 无 |
| 中文标题 | CISA warns of trojanized versions of JavaScript library’s NPM package |
| 作者及单位 | Deeba Ahmed |
| 内容概述 |
据 CISA 称,一个加密挖矿恶意软件隐藏在一个流行的 JavaScript NPM 库 UAParser.js 中。 该库每周的下载量超过 600 万至 800万次,被用于网站和应用程序识别使用的浏览器和系统。NPM 平台于 2020 年成为微软旗下 GitHub 的一部分。据报道,在攻击者成功劫持了维护者的 NPM 账户后,UAParser.js 的三个版本,0.7.29、0.8.0、1.0.0 都被嵌入了恶意代码。经确认,运行任何这些版本的设备都可能允许攻击者访问敏感和机密信息,甚至让他们控制计算机。 |
| 新闻链接 |
https://www.hackread.com/cisa-trojanized-javascript-library-npm-package/ |