Schadcode in weit verbreiteter JavaScript-Bibliothek UAParser.js entdeckt
Angreifer haben die JavaScript-Bibliothek UAParser.js mit Schadcode versehen, der auf betroffenen Rechnern Kryptogeld-Miner installiert.
(Bild: ElRoi / Shutterstock.com)
- Dorothee Wiegand
In drei Versionen eines sehr verbreiteten NPM-Pakets namens UAParser.js wurde am Freitag Schadcode gefunden. UAParser.js dient in Apps und Websites unter anderem dazu, das genutzte System und den verwendeten Browser zu identifizieren. Ein Rechner, auf dem die genannte Software ausgeführt wird, könnte Angreifern Zugriff auf vertrauliche Informationen gewähren oder ihnen erlauben, die Kontrolle über das System zu übernehmen. Offenbar dient der in diesem Fall eingeschleuste Schadcode dazu, auf dem Zielsystem einen Miner für Kryptowährung zu installieren.
Wichtige JavaScript-Bibliothek trojanisiert
Der Entwickler von UAParser.js, ein Programmierer aus Indonesien, der seine Software unter dem Namen faisalman veröffentlicht, hatte in seinem Gitmemory-Profil mitgeteilt, dass die Software durch Schadcode verändert wurde. Die Website zu UAParser.js meldet für die vergangenen Woche fast 8 Millionen Downloads.
Am Freitagabend gab die US-amerikanische Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) eine Sicherheitswarnung zu dem Vorfall heraus, die auf die GitHub Advisory Database verweist.
Updates garantieren keine Sicherheit
In der GitHub Advisory Database werden drei mit Schadcode versehene Versionen des Pakets ua-parser-js genannt: 0.7.29, 0.8.0 und 1.0.0. Anwender, die diese Versionen auf ihrem System haben, sollten umgehend Updates installieren (0.7.30, 0.8.1, 1.0.1) und ihre Systeme auf verdächtiges Verhalten untersuchen. Auch wenn der Schadcode vom System entfernt worden sei, gebe es keine Garantie, dass alle durch die vorübergehende Einrichtung der Malware entstandenen Schäden damit behoben seien, so die Warnung in der Database.
Die NPM-Plattform ist seit Anfang 2020 Teil von GitHub, dem weltweit größten Repository von Entwicklerprojekten. 2018 hatte Microsoft Github für rund 7,5 Milliarden US-Dollar gekauft. Als GitHub 2020 den Paketmanager übernahm, ging die Plattform damit also in den Besitz von Microsoft über. GitHub-CEO Nat Friedmann erklärte nach der Übernahme, dass Microsoft so in den Besitz des "größten Entwickler-Ökosystems der Welt" gelangt sei. Der Service umfasst weit mehr als eine Million Pakete und verzeichnet monatlich ungefähr 75 Milliarden Downloads durch rund 12 Millionen Entwickler.
(dwi)
