やっぱりdenoやiOSみたいにセキュリティが必要

んーけっこうやばない？🤔

UAParser.js マルウェア埋め込みされる

発覚の数時間ごに修正版がリリースされており、問題のあるソフトは非公開となっている模様

JavaScriptライブラリが乗っ取られる！？
これは只事じゃないのでは…

UAParser.js 最近使ったばかりだから焦った。直前のバージョンだったから一応大丈夫かな。npm で乗っ取りって久しぶりに聞いた気がする。

怖いな

ライブラリにウイルス仕込まれるのはどつしようもないな。。🤔

プログラミングでライブラリーを使う際、調査が必要ですね

, , などの企業が多くのプロジェクトに使用されている便利で人気な ライブラリ、が乗っ取られる、Windowsデバイスはパスワード盗難の恐れも

npnパッケージに暗号資産採掘仕込まれたりする世の中。OSSはセキュリティが高いなんて言えないよね

こういうのってモデレーターがチェックとかできないものなのかね？

“UAParser.js”

いやーんだわもう

ご存知の方も多いと思いますが現状は治っている模様です。
少し前にgigazineにもこの事象についての記事が挙がっていました。

◎
・npmで公開されている「UAParser.js」にマルウェアをインストールするトロイの木馬が仕込まれていたことが判明。

npmまるっと信頼…
これはヤバい‼️

『ダウンロードするDLLはデバイスに保存されているパスワードを盗もうとするトロイの木馬』

『Facebook・Microsoft・Amazon・Google・Instagram・Slack・Mozilla・Discordなどの有名企業を含む数多くのプロジェクトで使用されており』

UAParser.jsか…これはえぐい。

・UAParser.js（0.7.29、0.8.0、1.0.0）にマルウェア混入
・ロシア・ウクライナ・ベラルーシ・カザフスタン以外のユーザーに有害
・Windows資格情報マネージャーやゲームアプリからパスワードを盗むトロイの木馬
→jsextensionやcreate.dllは削除すること

「UAParser.js」利用度の高いjavascriptライブラリのnpmアカウントが乗っ取られてウイルスが仕込まれたらしい。
Webを運営してる人は利用してないか確認した方が良さそう。

えぇそんな事あるんやな

身の毛がよだつ

やばすぎてやばい

認証系ライブラリ乗っ取りとはなかなか恐ろしい話。

UAParser.jsがやられたか

＞Linuxだった場合、

sudo ls -lR / してみて検索したが、見つからなかった。

そっち方面全然知らんのやけど、asset のロックとか ephemeral とかそういうのは無いんかいな？

ところが、2021年10月22日にnpmで配布されたUAParser.jsの新たなバージョンには、ダウンロードしたLinuxおよびWindowsデバイスにマルウェアを ...

UA のパースなんて、そもそもやめろ

うひー、他人事ではなさすぎる / MFA有効にしてなかったのか、してても何かで突破されたのか

セキュリティ：

npmがザルっていうのはもう何年も前から指摘されてるしな・・・・でも便利すぎてみんなやめられないんよね〜

祭りじゃん

使ってないけど、他のライブラリは大丈夫なのか不安になる😭

[タレ]UAParser.js乗っ取られる

OSS導入はこれがあるので慎重になる

ｷﾞｬｰｰｰ

あー…

npmで防ぐのは難しい

Windows ｽｺﾞｲな…、ブラウザのストレージで何でも出来るな…。

ひえぇ

こっわ、、

チェックしないとなー

引用；Facebook・Microsoft・Amazon・Googleなどの超大手企業を含む1000以上のプロジェクトで採用〜LinuxおよびWindowsデバイスを対象に暗号資産採掘やパスワードの盗難を行うトロイの木馬が仕込まれていたことが判明しました。

セキュリティ



以下一部省略
パッケージ管理ツールのnpmで公開のUAParser.jsはユーザーエージェントの判定処理のJavaScriptライブラリ

まじか
UAParser.js使ってるプロジェクトは安易にアップデートしないように注意だ

これの影響がないか会社のレポジトリ巡回してる

ライブラリ乗っ取って攻撃とかユーザーなかなか気づけないし怖すぎでしょ…

セキュリティに気を使っているところでも、意外と標準ライブラリは気にしていないところもあるので、ガクブルものである
電子署名しようにも、実体はテキストだもんなぁ

恐ろしい。→

グエッグエっ
Security issue: compromised npm packages of ua-parser-js (0.7.29, 0.8.0, 1.0.0)

53

人気JSライブラリ乗っ取られ暗号資産発掘&パスワード盗みに活用される


npmでupdateする対象は全て自動だー(問題起きたら対応するよ)
としてるといつかこの様なハッキングに巻き込まれる😓

ハッカーの仕込む発掘ツールは儲けの参考になる部分有るが

ほう？

53

人気JSライブラリ乗っ取られ暗号試算発掘&パスワード盗みに活用される


npmでupdateする対象は全て自動だー(問題起きたら対応するよ)
としてるといつかこの様なハッキングに巻き込まれる😓

後はハッカーの仕込む発掘ツールは儲けの参考になる部分有

"npmで公開されている「UAParser.js」"

「そんなとこ狙うんだ……」ってとこ突いてくるよな……。

怖いねぇ...。

だ そうです。

よく知らんが大変な事なのかも

これヤバイんでねぇの？

なんと厄介な…

恐ろしいよ❓

怖すぎる😱

こっわ

これはえぐい

いいね

これのインパクトに比べたらコインハイブ事件の影響力なんてゴミクズみたいなモンだ

npmで公開「UAParser.js」ハイジャックされる

.

気づくのは、なかなか時間がかかるかと、オープンソース インドネシアの開発者さんみたい
.

控えめに言ってインパクトやばい

問題のバージョンを使ってる方はご注意を

チェックした方がいいですね。

えっ………ｶﾞﾀｶﾞﾀｶﾞﾀ

たまたま関係なかったが

ううむ。：

とんでもないな………！

参考まで。🐶

草。
CPU50％も消費し続けたら気づきそうだけどな…
ただ何がどこにどう入ったか見つけづらいという点でマルウェア除去は面倒だな…

これ、Macはただ単に攻撃対象にならなかったのか、macOSだから防げてるのかどっちなんだろ

ひいいいいい

おいでよJavaScriptが"Javascript"の最新情報をお伝えするよ！「 )

に配布された最新のUAParser.js にトロイの木馬が仕込まれていた。

これ、地味に怖いっすね。
Facebook・Microsoft・Amazon・Googleで使われてると防ぎ用がない…

アプリケーションを提供する場合には、どのくらいの知識やスキルを持っているとこういう風に気づいたり、対応できたりするのだろう？
無料でも提供するだけではなく、こういう対応ができたほうがいいね
--

Pocket New item archived:

超大手企業を含む1000以上のプロジェクトで採用されている「UAParser.js」が、パスワード盗難やマイニングするように改ざんされたとのこと