PT-2025-37749 · Npm · Is-Arrayish
Informatic
·
Publicado
2025-09-08
·
Atualizado
2025-09-20
·
CVE-2025-59331
CVSS v4.0
8.8
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:N/SC:N/SI:N/SA:N/E:A/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:Red |
Nome do Software Vulnerável e Versões Afetadas
Versões do is-arrayish anteriores a 0.3.4
Descrição
O pacote
is-arrayish foi comprometido por meio de um ataque de phishing em uma conta de publicação npm. A versão 0.3.3 foi publicada com um payload de malware projetado para redirecionar transações de criptomoedas em ambientes de navegador, visando especificamente carteiras de criptomoedas como a MetaMask. Ambientes locais, de servidor e de linha de comando não são afetados. O pacote malicioso foi removido do registro npm em 8 de setembro, e novas versões de patch foram publicadas em 13 de setembro para auxiliar na invalidação de cache.Recomendações
Atualize para a versão 0.3.4 ou posterior.
Remova completamente o diretório
node modules.
Limpe o cache global do gerenciador de pacotes.
Reconstrua quaisquer bundles do navegador do zero.
Elimine as versões comprometidas de quaisquer caches operando em registros privados ou espelhos de registro.Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Is-Arrayish