重要内容:ua-parser-js利用e kotlin / js
用其他语言阅读这篇文章:
英语
没有Dia22 de Outubro,às17h06(cest),Uma mensagem foi postada没有运河#javascript做kotlin slackSobre Um possvel问题desegurança,moneomo no qualiniamos nossasInvestigações。没有Dia 23 de Outubro,FoiRelatado Que Malware Foi Encontrado嗯嗯Pacote NPM.Muito流行的Chamadoua-parser-js。o Pacote Havia Sido Comperomatomido,OcasionAndo NaInstalaçãodumladrãodeSenhasE Minerador de Criptomoedas EmMáquinas-alvo。
Kotlin Multiplatforma(COM O Target JS)e Kotlin / JS Utilizam UM Framework de Testes Muito流行的Chamadokarma.。Este Framework,Por Sua Vez,Tem UmaRejindência做Pacote Afetado(ua-parser-js)。Alémdisso,Muitos Desenvolvedores Que Utilizarm O Target JavaScript,Tambémultizamo Karma(Assim Como Fazemos Na Equipe Kotlin)Como Sua Estrutura de Testes。
Dessa Forma,Achamos重要的Quevocêesteja ciente dasituaçãoedo quevocêpode fazer paraverificar sedocêfoiafetado e como解析器o问题。
como sei se fui afetado?
sevocêestáusando direta ou indiretamenteVerseSess UA-Parser-JS0.7.29,0.8.0 e 1.0.0,Vocêpode考虑o seu sistema comperomedo。ingenpendentemente sevocêestáounnãofazendo睾丸。Uma Vez Instalada ARepiderência,操作系统脚本DeIlicializaçãoSãoecoptados自动词典(一个menos quevocê执行npm com aOpção-ignore脚本Ou Globalmente Tenha AOpção设置忽略脚本true)。
Como Sei Se Tenho Este Pacote没有Meu Sistema?
váriasmaneiras de saber se umpacoteficíficoestáinstalado(本地欧globalmente)em seu sistema,包括:
- usando o comando npm列表e filtrando asaídapara ua-parser-js
- usando o acotoot.NPM-CHECK.paraverificarindeveências.
Uma Maneira MaisSeguraéverificaro'ua-parser-js'ecelfíficoem sistema executando o seguinte comando
没有MacOS / Linux
grep -r --include = \ package.json'_id“:”ua-parser-js' {x}
没有窗户(Usando Powershell)
get-chatiTem -path' {x}'-recurse -include“package.json”-erroraction silonycontinue |select-string -pattern'“_id”:“ua-parser-js”
onde.{X}raiz em quevocêdeseja inicar a pesquisa。ISSOIráexibir todos OSDiretórioscontendo o arquivo package.json que uteriza o pacote。ÉlaroQuevocêpodevurarar为versõesfecíficasemvezedaes verspees,se quiser。
éXuftereVerificarnãoPenenaVimentoSenvolvimento,MASTambémo Seu Ambiente de Build Ou Reququirstro Lugar Que Vock Acha Que Este Pacote Pode Ter Sido Instalado(Direta Ou Indiretamente)。
VerifiqueTambémassenguintesentradas durante ainstalaçãodeseus pacotes npm(o que pode ser,por presseo,ao Usar Karma):
ua-parser-js@0.7.29:此包已被劫持
ua-parser-js@0.8.0:此包已被劫持
ua-parser-js@1.0.0:此包已被劫持
como欧盟resolvo o问题吗?
Alualize umaversãoquenãoseja afetada pelo问题。作为Seuizaçõesforamlançadas:0.7.30,0.8.1.E.1.0.1。证书-SE de Remover Quaisquer Pacotes AFETADOS e Rotacione Quaisque Quaisiquiais que properam ter sido comperomationidas。
Issoéufdiede para卸妆/ atualizar o pacote?
Dado que o pacote foi comperomidonãoapenas para executarmineraçãodecripto,mastambémrougar credenciais,SeriaRecomendávelalterar quaisquer contenciais potenciais que possam ter sido comperomidas。
TambéméRecomendadoVerificar SeVocêTemAlgumBinárioChamadojsextension.ou..jsextention.exe.exe.emsecução,comolistados noscomentáriosda问题原创EmExecuçãoMEUSISEMA。
Estou Infectado Mesmo quenãotenha feito nada que使用estegacote?
Que,SESTEMAEstáClayomido,Algo Que O SistemaEstáCallado,SEGURO假设Que,SE O Cacotegithub咨询坦佩斯Salienta。
Havia Alguma Janela de Tempo Para Este Ataque吗?
Ao que tudo indica,o ataque poderia ter ocorrodo(ou seja,partomo do momenoo queo pacoteomido foi atualizadoAtéo moneago em que foiredoado)entre22 de outubro de 2021às14:15 cest e 22 de outubro de 2021 18:23 cest。Em Outras Palavras,Se Nenhum de Seus Pacotes atualizou Suasindeachênciasindee curttoperíodode tempo,Entãoprovelenteococênãotemaversãoafetada e,结果,普罗萨州的versãoafetada e,普罗维拉兹Nãofoivemockado。
kotlin foi afetado?
Como Mencionado Acima,O Kotlin Multiplatform(Uterizando O Target JS)EVersão1.5.0 e Mais intopes do Kotlin / JS USAM UMAindectênciatransitiva do acitado。sevocê执行器做Karma pela primeira vez entre22 de outubro de 2021às14:15 cest e 22 de outubro de 2021 18:23 cest,EntãoCovêProvavelementeFoi Afetado。
Como Posso Evitar Que IssoAconteça没有Futuro吗?
UMARecomendaçãoéUSARarquivos锁Para suasindeveências(package-lock.json,yarn.lock等)que bloqueiamversõesdedepedênciasusadas,dando-lhe controlle sobre quaisquesatualizaçõesecontrantesquecogs美国para poderalualizá-los oportunamenteUma Vez Que UM Deles Foi Composomido。SENãoMerurizararquivos de lock,vocêpode,por presido,Iniciar seu aplicativo com umaversão,mas,em seguida,杜兰特皇家Fase,Seja desenvolvimento,Compilaçãooulomenantação,Seu Gerenciador de Pacotes Pode atualizar indizezncias sem quevocêncoceba。
Para ObterInstruçõessobrecomo usar o yarn.lock com projetos Kotlin / Js,Leia nossa Postagem de Blog。
POR FIM,观察Que AHistóriaMETORNODessa vullnerabilidade AindaEstáSedesenvolvendo。Culistaremos Quaisecureatualizaçõesconformeystário。
Artigo Original EmInglêsPOR:
