広く活用されるnpmパッケージ「UAParser.js」にマルウェア混入

npmパッケージ「UAParser.js」の一部バージョンに悪意あるコードが埋め込まれていたことがわかった。開発者は対象バージョンの利用者に対し、早急にアップデートを実施し、侵害状況を確認するよう注意を呼びかけている。

同パッケージ「UAParser.js（ua-parser-js）」は、ブラウザの利用環境を判定する機能を提供するJavaScriptライブラリ。「Node.js」のパッケージマネージャ「npm」などを通じて配布されており、ウェブサイトやアプリで広く活用されている。直近1週間のダウンロード数はnpmからだけで700万回以上にのぼっている。

悪意あるコードを含む「同1.0.0」「同0.8.0」「同0.7.29」が現地時間10月22日に公開されたことが明らかとなったもの。これらバージョンでは、リモートよりシステムの制御を奪われたり、機密情報を窃取されるおそれがある。

開発者は、自身の「npmアカウント」が乗っ取られ、悪意あるバージョンが公開されたと説明。問題部分を修正した「同1.0.1」「同0.8.1」「同0.7.30」を同日リリースした。

悪意あるコードが混入したバージョンを利用していた場合、侵害されたものとみなして対応するよう注意喚起を行った。

問題あるバージョンを削除した上で、端末内部に保存されたパスワードやキーなど変更する必要がある。また悪意あるバージョンを削除しても、ダウンロードされたマルウェアによって侵害が続くおそれがあるとして、感染状況などを確認するよう求めている。

（Security NEXT - 2021/10/25 ） ツイート

PR

関連記事

ランサム攻撃によりサーバやPCが被害 - 建設資材機械設備メーカー
メアドが不正利用、スパムの踏み台に - 名古屋産業振興公社
ランサム攻撃でサーバやPC30台が被害 - 清掃用品メーカー
露攻撃グループ、「Cisco IOS」旧脆弱性を悪用 - 制御システムにも関心
草津市指定管理者の運営2サイトが改ざん被害 - 偽警告を表示
SonicWall「SMA 100」にバックドア、ゼロデイ攻撃か - 侵害調査の実施を
大音量で煽る「サポート詐欺」の被害、端末内部に学生情報 - 名大
サイトが改ざん被害、仮設サイトを設置 - 日本体操協会
RSSフィードが改ざん、外部サイトのリンク混入 - リョーサン菱洋HD
外部審査員がサポート詐欺被害、PC内に審査情報 - JARI-RB