ua-parser-js updates garantieren keine Sicherheit und installiert Krypto-Miner auch auf Raspberry Pi? – allow a remote attacker to obtain sensitive information or take control of the system. – Wenzlaff.de

Massive Sicherheitslücke in UAParser. Selbst das CIA gibt eine Warnung heraus.
Mal in allen Verzeichnisen auf meinem Raspberry Pi gesucht mit:

grep --include=\*.json -rnw / -e 'ua-parser'

1	grep --include=\*.json -rnw / -e 'ua-parser'

Ergebnis:

./twarztsuche/node_modules/stream-http/package.json:43:    "ua-parser-js": "^0.7.18",
./bpmn-js-example-react-properties-panel/node_modules/stream-http/package.json:43:    "ua-parser-js": "^0.7.18",
./my-futurama-characters/node_modules/stream-http/package.json:43:    "ua-parser-js": "^0.7.18",

./twarztsuche/node_modules/stream-http/package.json:43: "ua-parser-js": "^0.7.18",

./bpmn-js-example-react-properties-panel/node_modules/stream-http/package.json:43: "ua-parser-js": "^0.7.18",

./my-futurama-characters/node_modules/stream-http/package.json:43: "ua-parser-js": "^0.7.18",

Betroffen ist die Version:

Wird auch in der stream-http Lib als transitive Abhängigkeit verwendet.

Dann kann mein Rechner wie hier beschrieben ja nicht als kompromittiert gelten, da es in der Version noch nicht vorhanden war 😉 Glück gehabt. Aber bei den JavaScript Projekten mit ihren vielen Abhängigkeiten wohl nur eine Frage der Zeit.