每周下载数百万次的npm包遭黑客攻击嵌入加密挖矿恶意软件

10月23日消息，美国网络安全和基础设施安全局周五警告说，一个广受欢迎的JavaScript 库（npm 包）遭到黑客攻击并被恶意代码修改，该代码在安装了受感染版本的系统上下载并安装了加密货币挖矿程序。该事件于10月22日星期五被发现。它影响了UAParser.js，这是一个用于读取存储在用户代理字符串中的信息的JavaScript 库。根据其官方网站，该库被Facebook、苹果、亚马逊、微软、Slack、IBM、HPE、戴尔、甲骨文、Mozilla、Shopify、Reddit和许多硅谷公司使用。根据其npm页面，该库每周的下载量也经常在600万到700万之间 。受损版本： 0.7.29、0.8.0、1.0.0。（the record）