正文

npm包ua-parser-js被恶意劫持植入挖矿脚本

admin
admin V管理员 /0 评论 /17 阅读
0416
此篇文章发布距今已超过1150天,您需要注意文章的内容或图片是否可用!

CVE编号

N/A

利用情况

暂无

补丁情况

N/A

披露时间

2021-10-26
漏洞描述
2021年10月22日晚上9点,阿里云安全团队监测到Npm官方仓库UAParse.js(ua-parser-js)官方账号疑似被恶意劫持,并遭遇投毒攻击,多个版本被攻击者植入挖矿脚本。该包月均下载量超千万,危害范围极广,请相关开发者、企业用户尽快自查,避免造成进一步损失。
ua-parser-js包是一个JavaScript库,用于从User-Agent中解析出浏览器、引擎、操作系统、CPU 和设备类型/模型等相关的设备信息,被广泛应用于JavaScript开发。ua-parser-js包用户非常广泛,如苹果,微软,Facebook,亚马逊,IBM, HPE,戴尔,甲骨文,Mozilla等大型科技公司对该包均有依赖。
影响版本: ua-parser-js 0.7.29 ua-parser-js 0.8.0 ua-parser-js 1.0.0 以上版本被攻击者植入挖矿脚本,其他版本暂时未受影响。
解决建议
建议将ua-parser-js更新到最新版本。
参考链接
https://mp.weixin.qq.com/s/-4JdUCksz3W1fpWN9lEAkw
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A CWE-ID 漏洞类型