npmパッケージ「UAParser.js」の一部バージョンに悪意あるコードが埋め込まれていたことがわかった。開発者は対象バージョンの利用者に対し、早急にアップデートを実施し、侵害状況を確認するよう注意を呼びかけている。 同パッケージ「UAParser.js(ua-parser-js)」は、ブラウザの利用環境を判定する機能を提供するJavaScriptライブラリ。「Node.js」のパッケージマネージャ「npm」などを通じて配布されており、ウェブサイトやアプリで広く活用されている。直近1週間のダウンロード数はnpmからだけで700万回以上にのぼっている。 悪意あるコードを含む「同1.0.0」「同0.8.0」「同0.7.29」が現地時間10月22日に公開されたことが明らかとなったもの。これらバージョンでは、リモートよりシステムの制御を奪われたり、機密情報を窃取されるおそれがある。 開発者は、自