In insgesamt drei Versionen des weit verbreiteten NPM-Pakets UAParser.js wurde gestern Schadcode gefunden. UAParser.js wird in Apps und auf Websites unter anderem dazu genutzt, das Betriebssystem und den verwendeten Browser zu identifizieren.
Ein Rechner, auf dem diese Software ausgeführt wird, könnte Angreifern Zugriff auf vertrauliche Informationen gestatten oder ihnen sogar erlauben, die Kontrolle über das gesamte System zu übernehmen. Offenbar dient der eingeschleuste Schadcode dazu, auf dem Zielsystem einen Miner für Kryptogeld zu installieren.
Wichtige JavaScript-Bibliothek wurde trojanisiert
Der Entwickler von UAParser.js aus Indonesien, der die Software unter dem Namen faisalman veröffentlicht, teilte in seinem Gitmemory-Profil mit, dass die Software durch Schadcode verändert wurde. Die Website zu UAParser.js meldet allein für die vergangenen Woche fast 8 Millionen Downloads.
Am Freitagabend gab die Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) in den USA eine Sicherheitswarnung zu dem Vorfall heraus, die auf die GitHub Advisory Database verweist.
Mit Updates ist es nicht getan
In der Advisory Database bei GitHub werden drei mit Schadcode versehene Versionen des Pakets ua-parser-js genannt: 0.7.29, 0.8.0 und 1.0.0. Nutzer, welche diese Versionen auf ihrem System haben, sollten umgehend bereinigte Updates installieren (0.7.30, 0.8.1, 1.0.1) und ihre Systeme auf verdächtiges Verhalten untersuchen.
Aber selbst wenn der Schadcode vom System entfernt worden sei, gebe es keine Garantie, dass alle durch die vorübergehende Einrichtung der Malware entstandenen Schäden damit auch schon behoben seien, sagt die Warnung in der Database.
Die NPM-Plattform ist seit Anfang 2020 ein Teil von GitHub, dem weltweit größten Repository für Entwicklerprojekte. 2018 hatte Microsoft Github für rund 7,5 Milliarden US-Dollar gekauft.