第300期安全事件
2021/10/25-2021/10/31
| 英文標題 | 無 |
| 中文標題 | CISA warns of trojanized versions of JavaScript library’s NPM package |
| 作者及單位 | Deeba Ahmed |
| 內容概述 |
據 CISA 稱,一個加密挖礦惡意軟件隱藏在一個流行的 JavaScript NPM 庫 UAParser.js 中。 該庫每周的下載量超過 600 萬至 800萬次,被用于網站和應用程序識別使用的瀏覽器和系統。NPM 平臺于 2020 年成為微軟旗下 GitHub 的一部分。據報道,在攻擊者成功劫持了維護者的 NPM 賬戶后,UAParser.js 的三個版本,0.7.29、0.8.0、1.0.0 都被嵌入了惡意代碼。經確認,運行任何這些版本的設備都可能允許攻擊者訪問敏感和機密信息,甚至讓他們控制計算機。 |
| 新聞鏈接 |
https://www.hackread.com/cisa-trojanized-javascript-library-npm-package/ |