Veracode anuncia revisar el código de terceros UA-Parser-JS

veracode

Veracode anuncia que esta biblioteca UA-Parser.js se descarga millones de veces por semana y es utilizada por empresas emblemáticas como Facebook, Apple, Amazon y Slack. Un atacante comprometió la cuenta del desarrollador de bibliotecas e inyectó código malicioso en el repositorio que robaba contraseñas y variables de entorno cada vez que los clientes descargaban y usaban el código.

Debido a que con Veracode escaneamos repositorios de códigos populares todas las noches, pudimos detectar este problema y notificar a nuestros clientes de inmediato.

Hace solo unos días, vimos un ataque clásico de cadena de suministro de código abierto en el que alguien modificó una biblioteca de JavaScript, UA-Parser-JS, que se encuentra en el repositorio de npm. Los atacantes modificaron la biblioteca para incluir ladrones de contraseñas y mineros criptográficos para que las aplicaciones de cualquiera que descargara esa versión se vieran comprometidas.

Con un ataque como este, las aplicaciones que están usando esta biblioteca con este código van a ejecutar ese código con los privilegios que tienen, donde sea que se implementen.

En este caso, se plantó un código malicioso. Estoy seguro de que se hizo de tal manera que todos los que usen esas bibliotecas se volverán vulnerables.

Si se trata de un código de robo de contraseñas, tomará las contraseñas y se las enviará a los atacantes. En el caso de los mineros criptográficos, consumirá recursos y tiempo de CPU y enviará el dinero a las billeteras del atacante.

Conoce más sobre Veracode aquí https://www.cpnnetsecurity.com/veracode/

 

Conoce más sobre Veracode aquí https://www.veracode.com/blog/managing-appsec/software-composition-analysis-mitigates-systemic-risk-popular-npm-repository