下载量超600万次的NPM包UAParser.js被植入恶意挖矿程序

美国网络安全和基础设施安全局发布安全警告，UAParser.js 中嵌入了加密货币挖矿和密码窃取的恶意软件，这是一个流行的 JavaScript NPM 库，每周下载量超过 600 万次。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，针对开源库的供应链攻击发现了三个不同的版本，分别是0.7.29、0.8.0、1.0.0，在成功接管维护者的 NPM 帐户后于周四发布了带有恶意代码的版本。

UAParser.js 的开发者表示是有人劫持了其NPM账户并发布了带有恶意软件的软件包。目前该问题已在 0.7.30、0.8.1 和 1.0.1 版本中修复。

几天前，安全研究人员披露了三个软件包（okhsa、klow 和 klown）的详细信息，这些软件包伪装成用户代理字符串解析器实用程序，目标是在 Windows、macOS 和 Linux 系统中挖掘加密货币。目前尚不清楚幕后黑手是否是同一个人。