CRITICAL🇬🇧 English

CVE-2025-59039

Złośliwe oprogramowanie w pakiecie Prebid Universal Creative 1.17.3 (supply chain)

CVSS 9.3v4.0pub. 2025-09-09upd. 2026-04-15

Wersja 1.17.3 pakietu Prebid Universal Creative (PUC) została krótkotrwale zainfekowana złośliwym oprogramowaniem związanym z kryptowalutami. Podatność dotyczy również popularnego hostingu tego pliku przez serwis jsDelivr, co znacząco zwiększa zasięg potencjalnego zagrożenia.

Pokaż oryginał (EN)

Prebid Universal Creative (PUC) is a JavaScript API to render multiple formats. Npm users of PUC 1.17.3 or PUC latest were briefly affected by crypto-related malware. This includes the extremely popular jsdelivr hosting of this file. The maintainers of PUC unpublished version 1.17.3. Users should see Prebid.js 9 release notes for suggestions on moving off the deprecated workflow of using the PUC or pointing to a dynamic version of it. PUC users pointing to latest should transition to 1.17.2 as soon as possible to avoid similar attacks in the future.

🤖 Analiza AI
Jak działa

Atakujący zmodyfikowali opublikowaną wersję 1.17.3 pakietu npm Prebid Universal Creative, osadzając w niej złośliwy kod (CWE-506 – Embedded Malicious Code). Zainfekowany pakiet był dostępny zarówno bezpośrednio przez rejestr npm, jak i za pośrednictwem sieci CDN jsDelivr. Użytkownicy wskazujący na dynamiczną wersję "latest" lub na konkretną wersję 1.17.3 pobierali złośliwe oprogramowanie o charakterze kryptowalutowym. Opiekunowie projektu wycofali wersję 1.17.3 z rejestru npm.

Skutki

Systemy korzystające z zainfekowanej wersji pakietu mogły zostać skompromitowane przez złośliwe oprogramowanie związane z kryptowalutami, co mogło skutkować nieautoryzowanym wykonaniem kodu w środowisku użytkownika końcowego lub naruszeniem integralności aplikacji webowych renderujących reklamy.

Mitygacja

Należy niezwłocznie przejść na wersję 1.17.2 pakietu Prebid Universal Creative. Zaleca się rezygnację z używania dynamicznego tagu "latest" i wskazywanie na konkretną, zaufaną wersję. Opiekunowie projektu sugerują zapoznanie się z informacjami o wydaniu Prebid.js 9 i migrację poza przestarzały przepływ pracy oparty na PUC. Należy sprawdzić, czy w środowisku produkcyjnym nie była używana zainfekowana wersja i w razie potrzeby przeprowadzić analizę incydentu.

Kogo dotyczy

Użytkownicy pakietu npm Prebid Universal Creative (PUC) w wersji 1.17.3 oraz użytkownicy wskazujący na tag "latest" w momencie, gdy wskazywał on na wersję 1.17.3; dotyczy to również osadzenia przez CDN jsDelivr.

Uwagi

Atak dotyczył łańcucha dostaw oprogramowania (software supply chain attack). Wersja 1.17.3 została wycofana przez opiekunów projektu. Podatność powiązana jest z szerszym atakiem na pakiety npm, opisanym przez Sonatype w kontekście pakietów chalk i debug.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje