10月23日消息,美國網絡安全和基礎設施安全局週五警告說,一個廣受歡迎的JavaScript 庫(npm 包)遭到黑客攻擊並被惡意代碼修改,該代碼在安裝了受感染版本的系統上下載並安裝了加密貨幣挖礦程序。該事件於10月22日星期五被發現。它影響了UAParser.js,這是一個用於讀取存儲在用戶代理字符串中的信息的JavaScript 庫。根據其官方網站,該庫被Facebook、蘋果、亞馬遜、微軟、Slack、IBM、HPE、戴爾、甲骨文、Mozilla、Shopify、Reddit和許多矽谷公司使用。根據其npm頁面,該庫每週的下載量也經常在600萬到700萬之間。受損版本: 0.7.29、0.8.0、1.0.0。 (the record)
dark