ผู้ดูแลแพ็กเกจ ua-parser-js บน npm ถูกคนร้ายแฮกบัญชีและวางแพ็กเกจเวอร์ชั่น 0.7.29, 0.8.0, และ 1.0.0 เพื่อวางมัลแวร์ในเครื่องของเหยื่อ โดยนักพัฒนาที่โหลดแพ็กเกจนี้ไปควรถือว่าเครื่องของตัวเองถูกแฮก และรีเซ็ตรหัสผ่านหรือกุญแจที่เกี่ยวข้องทั้งหมดทันที
ตอนนี้ผลกระทบของมัลแวร์ที่แน่ชัดคือการขโมยรหัสผ่านในเครื่อง, ขโมย cookie ในเบราว์เซอร์, และขุดเงินคริปโตสกุล Monero
GitHub ออกประกาศแจ้งเตือนระดับวิกฤติ ระบุว่ากุญแจและรหัสผ่านควรสร้างใหม่บนเครื่องที่ไม่ได้ติดตั้งแพ็กเกจนี้ทันที และต่อให้ถอนการติดตั้งแพ็กเกจนี้ไปแล้วก็ไม่สามารถแน่ใจได้ว่ายังเหลือมัลแวร์ในเครื่องหรือไม่
เนื่องจากคนร้ายออกเวอร์ชั่นใหม่ออกมาทับเวอร์ชั่น 0.7.28 ที่เป็นเวอร์ชั่นล่าสุดถึงสามเวอร์ชั่น ทำให้ทางนักพัฒนาต้องออกเวอร์ชั่น 0.7.30, 0.8.1, และ 1.0.1 ออกมาทับทั้งสามเวอร์ชั่น
ที่มา - GitHub, GitHub: ua-parser-js
Comments
us -> ua
งานที่ทำอยู่มีใช้ ua-parser-js ด้วยแฮะ แต่เป็น version 0.7.28 แปลว่ารอดใช่ไหม?
ต้องดูครับว่า lock version ไว้รึเปล่า ถ้าไม่ได้ lock แล้วระบุเป็น ~0.7.28 หรือ ^0.7.28 แล้วมีการ npm install ระหว่างที่โดน hack ก็จะได้ 0.7.29 มาก็คือโดนครับ