热门Npm组件UAParser.js的作者Faisal Salman在上周五(10/22)指出,有黑客挟持了他的Npm账号,出版了植入恶意程序的3个UAParser.js版本,包括GitHub与美国网络安全及基础设施安全局(CISA)都对此提出了警告。
Npm为Node.js组件的管理工具,在去年3月被纳入GitHub麾下。而Salman所打造的UAParser.js主要是用来侦测用户的浏览器、引擎、操作系统、CPU与设备类型,最近一周的下载量超过750万次。
Salman表示,他相信有人挟持了他的账号,并于0.7.29、0.8.0及1.0.0等3个UAParser.js版本中植入了恶意程序。
GitHub很快就发布了声明,呼吁安装上述版本的用户应尽快升级版本,同时检查系统上的可疑活动。GitHub说,任何安装这些版本的用户都应该假设系统已被危害,立即轮换计算机上的凭证,此外,移除了恶意的UAParser.js版本并不代表也移除了恶意程序,也不确定系统是否已遭黑客掌控。
《BleepingComputer》引用安全企业Sonatype的分析指出,黑客在UAParser.js中所植入的恶意程序同时支持Linux与Windows系统,而且会侦测用户的位置,只攻击俄罗斯、白俄罗斯、乌克兰及哈萨克斯坦以外的国家,除了安装门罗币挖矿程序XMRig之外,也会窃取各种凭证,包括FTP、电子邮件、通讯程序、浏览器,以及存放于Windows凭证管理员中的凭证。
已安装0.7.29、0.8.0与1.0.0的UAParser.js用户,可各自升级到0.7.30、0.8.1与1.0.1,同时也应检查整个系统的安全性,以及轮换凭证。