La Cybersecurity & Infrastructure Security Agency (CISA) explique qu'un attaquant pourrait ainsi obtenir des informations sensibles ou prendre le contrôle du système à distance. La CISA « exhorte les utilisateurs et les administrateurs utilisant les versions compromises de ua-parser-js 0.7.29, 0.8.0 et 1.0.0 de se mettre à jour avec les versions corrigées respectives : 0.7.30, 0.8.1, 1.0.1 ».
Sur Github, le développeur de cette bibliothèque (faisalman) donne quelques explications : « Je pense que quelqu'un a piraté mon compte npm et a publié des packages compromis. [...] J'ai envoyé un message au support de NPM car je n'arrive pas à dépublier les versions compromises (peut-être en raison de la politique npm) donc je ne peux que les déprécier avec un message d'avertissement ».
Bleeping Computer propose une analyse détaillée du fonctionnement des logiciels malveillants. Une histoire de plus qui montre que l'open source n'est pas synonyme de sécurité absolue et nécessite que l'on surveille de près les projets pour éviter qu'ils ne soient détournés.
