Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

El paquete NPM ua-parser-js tiene tres versiones con código malicioso. Los usuarios de las versiones 0.7.29, 0.8.0 y 1.0.0 se ven afectados por esta vulnerabilidad.

Una computadora o dispositivo con el software afectado instalado o en ejecución podría permitir que un atacante remoto obtenga información confidencial o tome el control del sistema.

El desarrollo del comunicado se produce días después de que la firma de DevSecOps, Sonatype, revelaron los detalles de tres paquetes, okhsa, klow y klown, que se hicieron pasar por la utilidad del analizador de cadenas de agente de usuario con el objetivo de extraer criptomonedas en sistemas Windows, macOS y Linux.

Recursos afectados

Paquete ua-parser-js (NPM):

• ua-parser-js 0.7.29
• ua-parser-js 0.8.0
• ua-parser-js 1.0.0

Solución

Actualizar a las versiones parcheadas:

• ua-parser-js 0.7.29  actualizar a la versión   ua-parser-js 0.7.30
• ua-parser-js 0.8.0    actualizar a la versión   ua-parser-js 0.8.1
• ua-parser-js 1.0.0    actualizar a la versión   ua-parser-js 1.0.1

Recomendaciones

Una computadora o dispositivo que tenga este paquete instalado o en ejecución debe considerarse totalmente comprometida. Un atacante puede obtener información confidencial o tomar el control del sistema, por lo tanto, se debe actualizar a las versiones parchadas.

Referencias

Malware de minería criptográfica descubierta en UAparser.js.