熱門Npm元件UAParser。js的作者Faisal Salman在上週五（10/22）指出，有駭客挾持了他的Npm賬號，出版了植入惡意程式的3個UAParser。js版本，包括GitHub與美國網路安全及基礎設施安全域性（CISA）都對此提出了警告。

Npm為Node。js元件的管理工具，在去年3月被納入GitHub麾下。而Salman所打造的UAParser。js主要是用來偵測使用者的瀏覽器、引擎、作業系統、CPU與裝置型別，最近一週的下載量超過750萬次。

Salman表示，他相信有人挾持了他的賬號，並於0。7。29、0。8。0及1。0。0等3個UAParser。js版本中植入了惡意程式。

GitHub很快就釋出了宣告，呼籲安裝上述版本的使用者應儘快升級版本，同時檢查系統上的可疑活動。GitHub說，任何安裝這些版本的使用者都應該假設系統已被危害，立即輪換計算機上的憑證，此外，移除了惡意的UAParser。js版本並不代表也移除了惡意程式，也不確定系統是否已遭駭客掌控。

《BleepingComputer》引用安全企業Sonatype的分析指出，駭客在UAParser。js中所植入的惡意程式同時支援Linux與Windows系統，而且會偵測使用者的位置，只攻擊俄羅斯、白俄羅斯、烏克蘭及哈薩克以外的國家，除了安裝門羅幣挖礦程式XMRig之外，也會竊取各種憑證，包括FTP、電子郵件、通訊程式、瀏覽器，以及存放於Windows憑證管理員中的憑證。

已安裝0。7。29、0。8。0與1。0。0的UAParser。js使用者，可各自升級到0。7。30、0。8。1與1。0。1，同時也應檢查整個系統的安全性，以及輪換憑證。