千万下载量的NPM包被黑客入侵击，引起美国监管机构注意

JavaScript库下载量超过1000万。

10月22日，一个名为UAParser.js的NPM包遭到黑客攻击，并被恶意代码修改。据悉，这些代码将在感染设备上自动下载，并秘密安装盗窃密码程序和加密货币挖掘程序。

UAParser.js是一个Javascript库，用于读取存储在用户代理字符串中的信息，主要用于分析浏览器的用户代理，识别访问者使用的浏览器、引擎、操作系统、CPU和设备类型/型号。

而且UAParser.js在众多NPM包中非常受欢迎，每周下载数百万次，本月下载总量超过2400万次。据该项目官网介绍，UAParser.js与Facebook、微软、亚马逊、谷歌、Elastic等科技巨头也有合作关系。

UAParser.js开发者FaisalSalman解释说：当我的电子邮件突然被数百个网站的垃圾邮件淹没时，我注意到了一些不寻常的事情。我相信有人劫持了他的npm账户，发布了一些感染软件包(0.7.29，0.8.0，1.0.0)。这些软件包可能会安装恶意软件，所以我只能使用警告信息来放弃它们。

不同的计算机系统有不同的攻击方式。

据了解，这些脚本是从远程服务器下载和执行二进制文件，主要为Linux和Windows平台提供二进制文件，然后自动启动Linuxshell脚本或Windows批量处理文件，偷偷下载后台名为jsextension的门罗币挖掘程序。

如果恶意软件包检测用户系统为Linux，它将执行preinstall.sh脚本，并检查用户是否来自俄罗斯、乌克兰和其他地方。如果不在上述地方，病毒将自动从http://159.148.186.228/节点下载jsextension程序。而且这些挖矿病毒非常机智，jsextension程序往往只占设备CPU性能的50%，以PU性能的50%。