Binuksan ng supply chain attack ang Axios Library, ang masasamang pakete ay nakakaapekto sa 80% ng cloud environments

iconChaincatcher
I-share
AI summary iconSummary
Nabuo ang on-chain news nang maging biktima ang JavaScript library na Axios sa isang supply chain attack, kung saan ang mga attacker ay nag-publish ng dalawang mapanirang npm packages na naglalaman ng cross-platform RATs. Ang mga package, axios@1.14.1 at axios@0.3.4, ay tinanggal pagkatapos ng tatlong oras, ngunit ang 135 systems ay nai-infect na. Ginagamit ang Axios sa 80% ng cloud environments, na may higit sa 100 milyong weekly downloads. Nabigo ang mga attacker sa pagbypass ng mga security measures sa pamamagitan ng pagpapabaya sa isang matagal na NPM_TOKEN. Ang mga bagong token listings ay patuloy na nasa puso ng mga developer, ngunit ipinakikita ng insidente na ito ang patuloy na panganib sa open-source ecosystems.

ChainCatcher na mensahe, ang isang attacker ay nakuha ang npm access token ng pangunahing tagapangalaga ng Axios, ang pinakapopular na JavaScript HTTP client library, at ginamit ito upang ilabas ang dalawang masamang bersyon (axios@1.14.1 at axios@0.3.4) na naglalaman ng cross-platform remote access Trojan (RAT), na nakatarget sa mga sistema ng macOS, Windows, at Linux. Ang masamang package ay naiwan sa npm registry nang halos 3 oras bago ito alisin. Ayon sa datos ng security company na Wiz, ang Axios ay may higit sa 100 milyong download bawat linggo at nasa loob ng halos 80% ng cloud at code environments. Ang security company na Huntress ay nakakita ng mga unang pagkaka-infected 89 segundo pagkatapos ng paglalabas ng masamang package, at napatunayan na mayroong hindi bababa sa 135 mga sistema na nasira sa loob ng open window. Mahalaga na tandaan na ang Axios project ay mayroon na sa kanyang lugar ang modernong security measures tulad ng OIDC trusted publishing at SLSA provenance, ngunit pinaglalabasan ng attacker ang lahat ng mga ito. Ang pag-aaral ay nagpakita na habang ang project ay nag-configure ng OIDC, nanatili pa rin ang tradisyonal na matagal na aktibong NPM_TOKEN, at ang npm ay default na nagbibigay-prioridad sa tradisyonal na token kapag pareho silang umiiral, kaya hindi kailangan ng attacker na tembak ang OIDC upang makapag-publish.

Disclaimer: Ang information sa page na ito ay maaaring nakuha mula sa mga third party at hindi necessary na nagre-reflect sa mga pananaw o opinyon ng KuCoin. Ibinigay ang content na ito para sa mga pangkalahatang informational purpose lang, nang walang anumang representation o warranty ng anumang uri, at hindi rin ito dapat ipakahulugan bilang financial o investment advice. Hindi mananagot ang KuCoin para sa anumang error o omission, o para sa anumang outcome na magreresulta mula sa paggamit ng information na ito. Maaaring maging risky ang mga investment sa mga digital asset. Pakisuri nang maigi ang mga risk ng isang produkto at ang risk tolerance mo batay sa iyong sariling kalagayang pinansyal. Para sa higit pang information, mag-refer sa aming Terms ng Paggamit at Disclosure ng Risk.