Leset!p · Malware in prominente Javascript-Projekte eingeschleust
Die Javascript-Bibliothek "is" wird jede Woche millionenfach heruntergeladen. Sie ist nur eines von mehreren kürzlich kompromittierten Projekten.
Mehrere äußerst populäre Javascript-Bibliotheken sind Ziel eines ausgeklügelten Supply-Chain-Angriffs geworden. Betroffen ist unter anderem das NPM-Paket von "is" – ein Tool, mit dem Entwickler in ihrem Javascript-Code einfache Typprüfungen durchführen können. Nach Angaben des "is"-Entwicklers Jordan Harband wurden die Versionen 3.3.1 und 5.0.0 mit Malware verseucht. Gelungen ist der Angriff durch ein gekapertes Konto eines Maintainers.
s3n🧩net wünscht viel Vergnügen
Comments