流行的NPM软件包被劫持以发布加密挖掘恶意软件

美国网络安全和基础设施安全局（U.S.Cybersecurity and Infrastructure Security Agency）周五警告称，“UAParser.js”是一个流行的JavaScript NPM库，每周下载量超过600万次。几天后，NPM存储库开始清除被发现模仿同一库的三个恶意软件包针对开源库的供应链攻击有三种不同版本—；0.7.29, 0.8.0, 1.0.0 — 在成功接管维护者的NPM帐户后，周四发布了恶意代码。

“我相信有人劫持了我的NPM帐户，并发布了一些可能会安装恶意软件的泄露软件包（0.7.29、0.8.0、1.0.0）。”UAParser说。js的开发者费萨尔·萨尔曼说。该问题已在版本0.7.30、0.8.1和1.0.1中修补

这项开发是在DevSecOps公司Sonatype披露三个软件包的详细信息几天后进行的—；okhsa、klow和klown—；它伪装成用户代理字符串解析器实用程序，目的是在Windows、macOS和Linux系统中挖掘加密货币。目前尚不清楚是否是同一位参与者在支持最新的妥协

“任何安装或运行此软件包的计算机都应被视为完全受损。存储在该计算机上的所有机密和密钥应立即从另一台计算机轮换，”GitHub在一份独立警报中指出。“应删除该软件包，但由于计算机的完全控制权可能已交给外部实体，因此无法保证删除该软件包将删除安装该软件包时产生的所有恶意软件。”