ブラウザの利用環境を判定する機能を提供するJavaScriptライブラリ「UAParser.js（ua-parser-js）」に悪意あるコードが埋め込まれていたことが判明したそうだ（Faisal Salman氏による説明、Security NEXT、GIGAZINE）。

問題のあるバージョンは10月22日に公開された「1.0.0」「0.8.0」「0.7.29」。これらのバージョンには、暗号資産採掘やパスワードの盗難を行うトロイの木馬が仕込まれていたとされている。開発者のFaisal Salman氏は「npmアカウント」が乗っ取られたことで、このコードが仕込まれてしまったと説明している。問題部分を修正したバージョンについてはすでに公開済み。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | インターネット |

関連ストーリー：
PyPI で暗号通貨採掘マルウェアを含む悪意あるパッケージが見つかる 2021年06月26日
3万台近いMacに感染しているが、まだ活動開始していないマルウェア「Silver Sparrow」 2021年02月23日
npmリポジトリで公開されているパッケージに仮想通貨を盗むマルウェアが混入 2018年11月29日
Ubuntu向けのパッケージ配信サービスでマイニングコード入りのパッケージが配信される 2018年05月16日
Googleがバイナリ比較ツールを無償公開 2016年03月23日
オープンソースのSSHクライアントPuTTY、トロイの木馬が仕込まれたバージョンが配布される 2015年05月30日