任意精度演算のnpmパッケージがマルウェア汚染
OpenSSLを使用して任意精度演算が行えるnpmパッケージ「bignum」の一部バージョンがマルウェアによって汚染されたことがわかった。
「同0.12.2」から「同0.13.0」までのバージョンでは、「node-pre-gyp」を使用してアドオンのプレビルドバイナリをオプションでダウンロードするが、同バイナリがマルウェアに置き換えられていることが明らかとなったもの。
バイナリの配布に利用していたクラウドストレージの有効期限が切れ、その後第三者が使用し、データを抜き出すマルウェアを含んだバイナリの配布を行なっているという。
同問題に対し、GitHubでは識別子「GHSA-7cgc-fjv4-52x6」を割り当てている。5月30日の時点でCVE番号は採番されていない。重要度は「クリティカル(Critical)」とレーティングされている。
2019年にリリースされた「同0.13.1」では、「node-pre-gyp」を利用しておらず、外部からビルド済みバイナリのダウンロードを行わないよう仕様が変更されており、同問題の影響を受けないとしている。
(Security NEXT - 2023/05/31 )
ツイート
PR
関連記事
フィッシング攻撃支援サブスクの関係者を一斉検挙 - 利用者は約1万人
iOS向けLINEアプリの「金融系モジュール」に脆弱性 - アップデートで修正済み
能登半島地震被災地域の登録セキスペ、登録更新申請期限迫る
添付ファイルと宛先の確認不足が重なる誤送信が発生 - 大塚商会
福岡飲食店のECサイトに不正アクセス - 個人情報流出の可能性
WP向け操作ログ記録プラグインにSQLi脆弱性 - パッチ未提供
グリコでシステム障害、冷蔵食品を出荷停止 - 再開は5月中旬予定
2024年1Qの脆弱性届け出は243件 - 前四半期比約2割減
教員や学生宛てのメールで個人情報含むファイルを誤添付 - 山口大
「Node.js」向けMySQLクライアントにRCE脆弱性