ChainCatcher rapporte que l'attaquant a volé le jeton d'accès npm du principal mainteneur de Axios, la bibliothèque HTTP client la plus populaire en JavaScript, et l'a utilisé pour publier deux versions malveillantes contenant un cheval de Troie d'accès à distance multiplateforme (RAT) (axios@1.14.1 et axios@0.3.4), ciblant les systèmes macOS, Windows et Linux. Les paquets malveillants ont été supprimés du registre npm après environ 3 heures. Selon les données de la société de sécurité Wiz, Axios est téléchargé plus de 100 millions de fois par semaine et est présent dans environ 80 % des environnements cloud et code. La société de sécurité Huntress a détecté les premières infections seulement 89 secondes après la publication du paquet malveillant et a confirmé, pendant la fenêtre d'exposition, au moins 135 systèmes compromis. Il est à noter qu'avant cet incident, le projet Axios avait déjà mis en œuvre des mesures de sécurité modernes telles que la publication fiable OIDC et la preuve d'origine SLSA, mais l'attaquant les a complètement contournées. L'enquête a révélé que, bien que le projet ait configuré OIDC, il conservait toujours un NPM_TOKEN traditionnel à long terme, et npm privilégie par défaut l'utilisation du jeton traditionnel en cas de coexistence, permettant ainsi à l'attaquant de publier sans contourner OIDC.
La bibliothèque Axios ciblée par une attaque de chaîne d'approvisionnement, des packages malveillants affectent 80 % des environnements cloud
ChaincatcherPartager
Des nouvelles sur la chaîne d'approvisionnement ont émergé lorsque la bibliothèque JavaScript Axios est devenue la cible d'une attaque de chaîne d'approvisionnement, les attaquants ayant publié deux paquets npm malveillants contenant des RAT multiplateformes. Les paquets, axios@1.14.1 et axios@0.3.4, ont été supprimés après trois heures, mais 135 systèmes étaient déjà infectés. Axios est utilisé dans 80 % des environnements cloud, avec plus de 100 millions de téléchargements hebdomadaires. Les attaquants ont contourné les mesures de sécurité en exploitant un NPM_TOKEN à longue durée de vie. Les nouveaux listings de jetons restent une priorité pour les développeurs, mais cet incident met en lumière les risques persistants au sein des écosystèmes open source.
Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations.
Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.