La Agencia de Infraestructura y Seguridad Cibernética de EE. UU. advirtió el viernes contra el malware de robo de contraseñas y criptomonedas integrado en «UAParser.js», una popular biblioteca JavaScript NPM con más de 6 millones de descargas semanales, días después de que el repositorio NPM se trasladara para deshacerse de tres paquetes maliciosos que se encontró que imitaban la misma biblioteca.

Un ataque a la cadena de suministro de la biblioteca de código abierto registró tres versiones diferentes, 0.7.29, 0.8.0, 1.0.0, que se publicaron con código malicioso el jueves después de la toma exitosa de la cuenta del administrador de NPM.

«Creo que alguien robó mi cuenta NPM y lanzó algunos paquetes comprometidos (0.7.29, 0.8.0, 1.0.0) que probablemente instalarán malware», dijo Faisal Salman, desarrollador de UAParser.js. El problema fue solucionado en las versiones 0.7.30, 0.8.1 y 1.0.1.

El desarrollo se produce días después de que DevSecOps Sonatype publicara detalles de tres paquetes, okhsa, klow y klown, que se hicieron pasar por una herramienta de análisis de cadenas de agentes de usuario para aprovechar la criptomoneda en Windows, macOS y Linux. No está claro de inmediato si el mismo actor está detrás del último compromiso.

«Cualquier computadora que tenga este paquete instalado o en ejecución debe considerarse totalmente comprometida. Todos los secretos y claves almacenados en esta computadora deben rechazarse de otra computadora de inmediato», dijo GitHub en una declaración independiente. «El paquete debe eliminarse, pero debido a que el control externo de la computadora podría tomar el control total, no hay garantía de que eliminar el paquete elimine todo el software malicioso resultante de su instalación».