ChainCatcher के अनुसार, हमलावर ने JavaScript के सबसे लोकप्रिय HTTP क्लाइंट लाइब्रेरी Axios के मुख्य रखरखावकर्ता का npm एक्सेस टोकन चुरा लिया और इस टोकन का उपयोग करके दो दुर्भावनापूर्ण संस्करण (axios@1.14.1 और axios@0.3.4) प्रकाशित किए, जिनमें क्रॉस-प्लेटफॉर्म रिमोट एक्सेस ट्रोजन (RAT) शामिल था, जिसका लक्ष्य macOS, Windows और Linux सिस्टम थे। दुर्भावनापूर्ण पैकेज npm रजिस्ट्री पर लगभग 3 घंटे तक रहा, जिसके बाद हटा दिया गया। सुरक्षा कंपनी Wiz के डेटा के अनुसार, Axios का सप्ताहिक डाउनलोड 10 करोड़ से अधिक है और यह लगभग 80% क्लाउड और कोड वातावरणों में मौजूद है। सुरक्षा कंपनी Huntress ने दुर्भावनापूर्ण पैकेज के लॉन्च होने के 89 सेकंड के भीतर पहले संक्रमण का पता लगा लिया और प्रकट होने की अवधि के दौरान कम से कम 135 सिस्टमों के संक्रमित होने की पुष्टि की। ध्यान देने योग्य बात यह है कि Axios प्रोजेक्ट पहले से ही OIDC विश्वसनीय प्रकाशन मैकेनिज़म और SLSA स्रोत प्रमाणीकरण जैसी 현대 सुरक्षा उपायों को लागू कर चुका था, लेकिन हमलावर ने इन सभी सुरक्षा प्रणालियों को पूरी तरह से पार कर लिया। जांच में पता चला कि प्रोजेक्ट ने OIDC कॉन्फ़िगर करते समय पारंपरिक, स्थायी NPM_TOKEN को भी बनाए रखा, और npm, जब दोनों साथ मौजूद होते हैं, तो पारंपरिक टोकन को प्राथमिकता देता है, जिससे हमलावर को OIDC को पार किए बिना ही प्रकाशन पूरा करने में सक्षम होता है।
एक्सियोस लाइब्रेरी पर सप्लाई चेन हमला हुआ, दुर्भावनापूर्ण पैकेजेस 80% क्लाउड वातावरणों को प्रभावित करते हैं
Chaincatcherसाझा करें
ऑन-चेन समाचार सामने आया जब Axios JavaScript लाइब्रेरी एक सप्लाई चेन हमले का शिकार हो गई, जिसमें हमलावरों ने क्रॉस-प्लेटफॉर्म RATs वाले दो दुर्भावनापूर्ण npm पैकेज प्रकाशित किए। पैकेज, axios@1.14.1 और axios@0.3.4, तीन घंटे के बाद हटा दिए गए, लेकिन 135 सिस्टम पहले ही संक्रमित हो चुके थे। Axios का उपयोग 80% क्लाउड वातावरणों में किया जाता है, जिसमें सप्ताहिक 100 मिलियन से अधिक डाउनलोड होते हैं। हमलावरों ने एक लंबे समय तक चलने वाले NPM_TOKEN का दुरुपयोग करके सुरक्षा उपायों को पार किया। नए टोकन सूचीबद्ध करना विकासकर्ताओं के लिए एक प्राथमिकता बना हुआ है, लेकिन इस घटना से ओपन-सोर्स परितंत्र में लगातार मौजूद जोखिमों की ओर प्रकाश डाला गया है।
स्रोत:मूल दिखाएं
डिस्क्लेमर: इस पेज पर दी गई जानकारी थर्ड पार्टीज़ से प्राप्त की गई हो सकती है और यह जरूरी नहीं कि KuCoin के विचारों या राय को दर्शाती हो। यह सामग्री केवल सामान्य सूचनात्मक उद्देश्यों के लिए प्रदान की गई है, किसी भी प्रकार के प्रस्तुतीकरण या वारंटी के बिना, न ही इसे वित्तीय या निवेश सलाह के रूप में माना जाएगा। KuCoin किसी भी त्रुटि या चूक के लिए या इस जानकारी के इस्तेमाल से होने वाले किसी भी नतीजे के लिए उत्तरदायी नहीं होगा।
डिजिटल संपत्तियों में निवेश जोखिम भरा हो सकता है। कृपया अपनी वित्तीय परिस्थितियों के आधार पर किसी प्रोडक्ट के जोखिमों और अपनी जोखिम सहनशीलता का सावधानीपूर्वक मूल्यांकन करें। अधिक जानकारी के लिए, कृपया हमारे उपयोग के नियम और जोखिम प्रकटीकरण देखें।