AccueilActualités informatiqueDécouverte d'un code malveillant dans la bibliothèque JavaScript largement utilisée UAParser.js

Découverte d’un code malveillant dans la bibliothèque JavaScript largement utilisée UAParser.js

Vendredi, un code malveillant a été découvert dans trois versions d’un paquet NPM très courant appelé UAParser.js. UAParser.js est utilisé dans les applications et les sites web pour identifier, entre autres, le système et le navigateur utilisés. Un ordinateur exécutant ledit logiciel pourrait permettre aux attaquants d’accéder à des informations confidentielles ou de prendre le contrôle du système. Apparemment, le code malveillant introduit dans ce cas sert à installer un mineur de crypto-monnaie sur le système cible.

Sommaire

Le développeur de UAParser.js, un programmeur d’Indonésie qui publie ses logiciels sous le nom de faisalman, avait annoncé dans son profil Gitmemory que le logiciel avait été modifié par un code malveillant. Le site Web de UAParser.js fait état de près de 8 millions de téléchargements au cours de la semaine écoulée.

Vendredi soir, l’agence américaine Cybersecurity Infrastructure Security Agency (CISA) a publié une alerte de sécurité concernant l’incident, en pointant vers la base de données d’avis GitHub.

La base de données d’avis GitHub répertorie trois versions malveillantes du paquet ua-parser-js : 0.7.29, 0.8.0 et 1.0.0. Les utilisateurs qui disposent de ces versions sur leur système doivent immédiatement installer les mises à jour (0.7.30, 0.8.1, 1.0.1) et vérifier si leur système présente un comportement suspect. Même si le code malveillant a été supprimé du système, il n’y a aucune garantie que tous les dommages causés par l’installation temporaire du malware aient été réparés, selon l’avertissement de la base de données.

La plateforme NPM est devenue partie intégrante de GitHub, le plus grand référentiel de projets de développeurs au monde, au début de 2020. En 2018, Microsoft avait acheté Github pour environ 7,5 milliards de dollars américains. Lorsque GitHub a repris le gestionnaire de paquets en 2020, la plateforme est ainsi devenue la propriété de Microsoft. Nat Friedmann, PDG de GitHub, a expliqué après l’acquisition que Microsoft était ainsi entré en possession du « plus grand écosystème de développeurs au monde ». Le service comprend bien plus d’un million de paquets et enregistre environ 75 milliards de téléchargements par mois par quelque 12 millions de développeurs.

Plus d'articles