In drei Versionen eines sehr verbreiteten NPM-Pakets namens UAParser.js wurde am Freitag Schadcode gefunden. UAParser.js dient in Apps und Websites unter anderem dazu, das genutzte System und den verwendeten Browser zu identifizieren. Ein Rechner, auf dem die genannte Software ausgeführt wird, könnte Angreifern Zugriff auf vertrauliche Informationen gewähren oder ihnen erlauben, die Kontrolle über das System zu übernehmen. Offenbar dient der in diesem Fall eingeschleuste Schadcode dazu, auf dem Zielsystem einen Miner für Kryptowährung zu installieren.
Am Freitagabend gab die US-amerikanische Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA)
Die NPM-Plattform ist seit Anfang 2020 Teil von GitHub, dem weltweit größten Repository von Entwicklerprojekten. 2018 hatte Microsoft
Quelle: heise
Wichtige JavaScript-Bibliothek trojanisiert
Der Entwickler von UAParser.js, ein Programmierer aus Indonesien, der seine Software unter dem Namen faisalman veröffentlicht, hatte in seinem Gitmemory-Profil mitgeteilt, dass die Software durch Schadcode verändert wurde.Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Am Freitagabend gab die US-amerikanische Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA)
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
heraus, die auf die GitHub Advisory Database verweist.Updates garantieren keine Sicherheit
In der GitHub Advisory Database werden drei mit Schadcode versehene Versionen des Pakets ua-parser-js genannt: 0.7.29, 0.8.0 und 1.0.0. Anwender, die diese Versionen auf ihrem System haben, sollten umgehend Updates installieren (0.7.30, 0.8.1, 1.0.1) und ihre Systeme auf verdächtiges Verhalten untersuchen. Auch wenn der Schadcode vom System entfernt worden sei, gebe es keine Garantie, dass alle durch die vorübergehende Einrichtung der Malware entstandenen Schäden damit behoben seien,Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Die NPM-Plattform ist seit Anfang 2020 Teil von GitHub, dem weltweit größten Repository von Entwicklerprojekten. 2018 hatte Microsoft
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, ging die Plattform damit also in den Besitz von Microsoft über. GitHub-CEO Nat Friedmann erklärte nach der Übernahme, dass Microsoft so in den Besitz des "größten Entwickler-Ökosystems der Welt" gelangt sei. Der Service umfasst weit mehr als eine Million Pakete und verzeichnet monatlich ungefähr 75 Milliarden Downloads durch rund 12 Millionen Entwickler.Quelle: heise
