الصفحة الرئيسية
الأخبار
التفاصيل

تم استهداف مكتبة Axios بهجوم سلسلة التوريد، وتأثرت الحزم الخبيثة بـ 80% من بيئات السحابة

iconChaincatcher
مشاركة
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconملخص

expand icon
انكسرت الأخبار على السلسلة عندما أصبح مكتبة JavaScript Axios ضحية هجوم على سلسلة التوريد، حيث نشر المهاجمون حزمتين ضارتين على npm تحتويان على برامج RAT متعددة المنصات. تم إزالة الحزمتين، axios@1.14.1 وaxios@0.3.4، بعد ثلاث ساعات، لكن 135 نظامًا كانت قد أُصابت بالفعل. تُستخدم Axios في 80% من بيئات السحابة، مع أكثر من 100 مليون تنزيل أسبوعي. تجاوز المهاجمون تدابير الأمان من خلال استغلال NPM_TOKEN طويل الأمد. تظل إضافات الرموز الجديدة محور اهتمام المطورين، لكن هذا الحادث يسلط الضوء على المخاطر المستمرة في نظم مفتوحة المصدر.

تشير رسالة ChainCatcher إلى أن المهاجمين سرقوا رمز وصول npm لمُصَحِّح axios، وهو أحدث مكتبة HTTP شائعة في JavaScript، واستخدموا هذا الرمز لنشر نسختين خبيثتين تحتويان على حصان طروادة للوصول عن بُعد عبر منصات متعددة (RAT) (axios@1.14.1 و axios@0.3.4)، تستهدف أنظمة macOS و Windows و Linux. تم إزالة الحزم الخبيثة من سجل npm بعد حوالي 3 ساعات من نشرها. وفقًا لبيانات شركة الأمن Wiz، تُحمَّل axios أكثر من 100 مليون مرة أسبوعيًا، وتوجد في حوالي 80% من بيئات السحابة والكود. وقد اكتشفت شركة الأمن Huntress أول حالات الإصابة بعد 89 ثانية فقط من نشر الحزمة الخبيثة، وتأكيدت وجود اختراق على الأقل لـ 135 نظامًا خلال فترة التعرض. يجدر الذكر أن مشروع axios كان قد نفّذ بالفعل تدابير أمان حديثة مثل آلية النشر الموثوقة OIDC وإثبات المصدر SLSA، لكن المهاجمين تجاوزوا هذه الحمايات بالكامل. وأظهر التحقيق أن المشروع كان لا يزال يحتفظ بـ NPM_TOKEN تقليدي طويل الأمد أثناء تكوين OIDC، وأن npm يُفضّل تلقائيًا استخدام رمز NPM_TOKEN التقليدي عند وجود كليهما، مما سمح للمهاجمين بنشر الحزم دون الحاجة إلى اختراق OIDC.

المصدر:عرض النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات. يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.