Wersja 1.17.3 pakietu Prebid Universal Creative (PUC) została krótkotrwale zainfekowana złośliwym oprogramowaniem związanym z kryptowalutami. Podatność dotyczy również popularnego hostingu tego pliku przez serwis jsDelivr, co znacząco zwiększa zasięg potencjalnego zagrożenia.
▸ Pokaż oryginał (EN)
Prebid Universal Creative (PUC) is a JavaScript API to render multiple formats. Npm users of PUC 1.17.3 or PUC latest were briefly affected by crypto-related malware. This includes the extremely popular jsdelivr hosting of this file. The maintainers of PUC unpublished version 1.17.3. Users should see Prebid.js 9 release notes for suggestions on moving off the deprecated workflow of using the PUC or pointing to a dynamic version of it. PUC users pointing to latest should transition to 1.17.2 as soon as possible to avoid similar attacks in the future.
Atakujący zmodyfikowali opublikowaną wersję 1.17.3 pakietu npm Prebid Universal Creative, osadzając w niej złośliwy kod (CWE-506 – Embedded Malicious Code). Zainfekowany pakiet był dostępny zarówno bezpośrednio przez rejestr npm, jak i za pośrednictwem sieci CDN jsDelivr. Użytkownicy wskazujący na dynamiczną wersję "latest" lub na konkretną wersję 1.17.3 pobierali złośliwe oprogramowanie o charakterze kryptowalutowym. Opiekunowie projektu wycofali wersję 1.17.3 z rejestru npm.
Systemy korzystające z zainfekowanej wersji pakietu mogły zostać skompromitowane przez złośliwe oprogramowanie związane z kryptowalutami, co mogło skutkować nieautoryzowanym wykonaniem kodu w środowisku użytkownika końcowego lub naruszeniem integralności aplikacji webowych renderujących reklamy.
Należy niezwłocznie przejść na wersję 1.17.2 pakietu Prebid Universal Creative. Zaleca się rezygnację z używania dynamicznego tagu "latest" i wskazywanie na konkretną, zaufaną wersję. Opiekunowie projektu sugerują zapoznanie się z informacjami o wydaniu Prebid.js 9 i migrację poza przestarzały przepływ pracy oparty na PUC. Należy sprawdzić, czy w środowisku produkcyjnym nie była używana zainfekowana wersja i w razie potrzeby przeprowadzić analizę incydentu.
Użytkownicy pakietu npm Prebid Universal Creative (PUC) w wersji 1.17.3 oraz użytkownicy wskazujący na tag "latest" w momencie, gdy wskazywał on na wersję 1.17.3; dotyczy to również osadzenia przez CDN jsDelivr.
Atak dotyczył łańcucha dostaw oprogramowania (software supply chain attack). Wersja 1.17.3 została wycofana przez opiekunów projektu. Podatność powiązana jest z szerszym atakiem na pakiety npm, opisanym przez Sonatype w kontekście pakietów chalk i debug.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X