UAParser.js The most comprehensive, compact, & up-to-date isomorphic JavaScript library to detect user's Browser, Engine, OS, CPU, and Device type/model. Runs either in browser (client-side) or node.js (server-side). Demo Live demo:https://uaparser.dev ...
ua-parse-js漏洞出现和解决 收到各个群的消息以及邮件通知 漏洞和问题,如下截图所示: 后面看到npm上也有说明,把有问题的版本以及打补丁的版本都列出来,一目了然。 如下截图所示: 快速解决问题 首先需要知道自己的项目,是否有引用ua-parser-js包。 步骤: 1、查看项目的根目录下的package.json。 一眼看完,是没...
研究人员还描述了他们在10月份观察到的供应链攻击,该攻击使用了一个流行的npm库,ua-parser-js,该库用于解析用户代理字符串来识别用户的浏览器、操作系统、设备和其他属性。他们说,该库每周有超过700万次的下载。 研究人员解释说,攻击者使用ua-parser-js来利用软件供应链来获得敏感数据。 研究人员写道:”攻击者在接...
10 月 22 日,一款名为 UAParser.js 的 NPM 包遭到黑客攻击,并被恶意代码修改,据悉在受感染的设备上,这些代码会自动下载,并偷偷安装窃取密码程序和加密货币挖矿程序。 UAParser.js 是一个用于读取存储在用户代理字符串中的信息的 JavaScript 库,主要用于解析浏览器的用户代理,能够识别出访问者使用的浏览器、引擎、...
2021年10月22日数周前,ua-parser-js官方账号疑似被攻击者劫持,Npm仓库出现多起实验性投毒事件;2021年10月22日21点15分,Npm仓库中ua-parser-js包更新了0.7.29恶意版本;2021年10月22日21点16分,ua-parser-js包再次更新了0.8.0和1.0.0两个恶意版本;2021年10月23日0点16分,官方开始响应,0.7.30版本被发布用...
Npm为Node.js组件的管理工具,在去年3月被纳入GitHub麾下。而Salman所打造的UAParser.js主要是用来侦测用户的浏览器、引擎、操作系统、CPU与设备类型,最近一周的下载量超过750万次。Salman表示,他相信有人挟持了他的账号,并于0.7.29、0.8.0及1.0.0等3个UAParser.js版本中植入了恶意程序。GitHub很快就发布...
美国网络安全和基础设施安全局发布安全警告,UAParser.js 中嵌入了加密货币挖矿和密码窃取的恶意软件,这是一个流行的 JavaScript NPM 库,每周下载量超过 600 万次。 根据网络安全行业门户极牛网JIKENB.COM的梳理,针对开源库的供应链攻击发现了三个不同的版本,分别是0.7.29、0.8.0、1.0.0,在成功接管维护者的 NPM...
目前还不清楚这些包的作者针对的开发者群体。目前没有迹象表明这是一起错误输入或依赖劫持攻击。但Klow(n)伪装成合法的UAParser.js库文件,使得其看起来是一个弱的品牌劫持攻击厂商。 Sonatype安全研究团队在10月15日将发现的恶意包提交给了npm。几小时后,这些恶意包就被npm安全团队删除了。
10月22日,每周下载超数百万次的流行NPM包UA-Parser-JS遭到黑客劫持,导致大量Windows与Linux设备感染了加密货币挖矿软件与密码窃取木马。 UA-Parser-JS可用于解析浏览器的用户代理,能够识别出访问者使用的浏览器、引擎、操作系统、CPU以及设备类型/型号。 这个项目的人气很高,每周下载量超数百万次,本月下载总量超过2400...
热门Npm组件UAParser.js的作者Faisal Salman在上周五(10/22)指出,有黑客挟持了他的Npm账号,出版了植入恶意程序的3个UAParser.js版本,包括GitHub与美国网络安全及基础设施安全局(CISA)都对此提出了警告。 Npm为Node.js组件的管理工具,在去年3月被纳入GitHub麾下。而Salman所打造的UAParser.js主要是用来侦测用户的浏览...