Now Reading
Beliebtes NPM-Päckchen zur Veröffentlichung von Crypto-Mining-Schadsoftware entführt

Beliebtes NPM-Päckchen zur Veröffentlichung von Crypto-Mining-Schadsoftware entführt

NPM Package

Die US-amerikanische Cybersecurity and Infrastructure Security Agency warnte am Freitag vor Krypto-Mining-Schadsoftware, die in “UAParser.js” eingebettet ist, einer beliebten JavaScript-NPM-Bibliothek mit droben 6 Mio. wöchentlichen Downloads, Tage nachdem dies NPM-Repository umgezogen war, um drei betrügerische Pakete loszuwerden, die gefunden, um dieselbe Bibliothek nachzuahmen.

Automatische GitHub-Backups

Wohnhaft bei dem Supply-Chain-Sturm hinauf die Open-Source-Bibliothek wurden am Mitte der Woche nachher erfolgreicher Entgegennahme des NPM-Kontos des Betreuers drei verschiedene Versionen – 0.7.29, 0.8.0, 1.0.0 – mit Schadcode veröffentlicht.

“meine Wenigkeit glaube, der gerne Süßigkeiten isst hat mein NPM-Konto gekapert und wenige kompromittierte Pakete (0.7.29, 0.8.0, 1.0.0) veröffentlicht, die wahrscheinlich Schadsoftware installieren werden”, sagte Faisal Salman, Entwickler von UAParser.js. Dies Problem wurde in den Versionen 0.7.30, 0.8.1 und 1.0.1 behoben.

Die Fortentwicklung erfolgt Tage, nachdem die DevSecOps-Firma Sonatype Einzelheiten zu drei Paketen – okhsa, klow und klown – von Rang und Namen gegeben hat, die sich wie User-Beobachter-Zeichenstrang-Parser-Tool mit dem Ziel liefern, Kryptowährung in Windows-, macOS- und Linux-Systemen zu minen. Es ist nicht sofort lukulent, ob derselbe Darsteller hinterm jüngsten Kompromiss steckt.

See Also
'Dies ist die Saison für das Wayward Package Phish – Krebs on Security

„Jeder Computer, hinauf dem dieses Päckchen installiert ist oder vollzogen wird, sollte wie vollwertig kompromittiert betrachtet werden. Nicht mehr da Geheimnisse und Schlüssel, die hinauf diesem Computer gespeichert sind, sollten sofort von einem anderen Computer rotiert werden“, bemerkte GitHub in einer unabhängigen Warnung. “Dies Päckchen sollte weit werden, allerdings da die vollständige Leistungsnachweis droben den Computer unter Umständen einer externen Instanz transferieren wurde, gibt es keine Gewähr dazu, dass durch dies Explantieren des Pakets allesamt schädliche Software weit wird, die aus welcher Installation resultiert.”



What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top