होम
न्यूज़
विवरण

एक्सियोस लाइब्रेरी पर सप्लाई चेन हमला हुआ, दुर्भावनापूर्ण पैकेजेस ने 135 सिस्टम्स को संक्रमित किया

iconTechFlow
साझा करें
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconसारांश

expand icon
ऑन-चेन समाचार सामने आया कि हमलावरों ने Axios npm टोकन को दुरुपयोग किया और क्रॉस-प्लेटफॉर्म RATs के साथ दुर्भावनापूर्ण axios@1.14.1 और axios@0.30.4 प्रकाशित किए। हटाए जाने से पहले, ये पैकेज 89 सेकंड में 135 सिस्टमों को संक्रमित कर चुके थे। Axios का उपयोग 80% क्लाउड वातावरणों में किया जाता है, जिसके सप्ताहिक 100M+ डाउनलोड हैं। हमलावरों ने एक लंबे समय तक चलने वाले NPM_TOKEN का उपयोग करके OIDC और SLSA को बायपास किया। नए टोकन सूचीबद्ध करना विकासकर्ताओं और सुरक्षा टीमों के लिए एक प्रमुख फोकस बना हुआ है।

वेंचरबीट की रिपोर्ट के अनुसार, हमलावरों ने जावास्क्रिप्ट के सबसे लोकप्रिय HTTP क्लाइंट लाइब्रेरी Axios के मुख्य रखरखावकर्ता का npm एक्सेस टोकन चुरा लिया और इस टोकन का उपयोग करके दो दुष्ट संस्करण (axios@1.14.1 और axios@0.30.4) प्रकाशित किए, जिनमें मैकओएस, विंडोज और लिनक्स सिस्टम के लिए क्रॉस-प्लेटफॉर्म रिमोट एक्सेस ट्रोजन (RAT) शामिल था। दुष्ट पैकेज npm रजिस्ट्री पर लगभग 3 घंटे तक रहा, जिसके बाद हटा दिया गया। सुरक्षा कंपनी Wiz के डेटा के अनुसार, Axios का सप्ताहिक डाउनलोड 10 करोड़ से अधिक है, और यह लगभग 80% क्लाउड और कोड वातावरणों में मौजूद है। सुरक्षा कंपनी Huntress ने दुष्ट पैकेज के प्रकाशन के 89 सेकंड के भीतर पहले संक्रमण का पता लगा लिया, और प्रकट होने की अवधि के दौरान कम से कम 135 सिस्टमों के संक्रमित होने की पुष्टि की। ध्यान देने योग्य बात यह है कि Axios प्रोजेक्ट पहले से ही OIDC विश्वसनीय प्रकाशन मैकेनिज़म और SLSA स्रोत प्रमाणीकरण जैसे आधुनिक सुरक्षा उपायों को लागू कर चुका था, लेकिन हमलावरों ने इन सभी सुरक्षा प्रणालियों को पूरी तरह से पार कर लिया। जांच में पता चला कि प्रोजेक्ट ने OIDC कॉन्फ़िगर करते समय पारंपरिक, स्थायी NPM_TOKEN को भी बनाए रखा, और npm, जब दोनों साथ मौजूद होते हैं, तो पारंपरिक टोकन को प्राथमिकता देता है, जिससे हमलावरों को OIDC को पार किए बिना ही प्रकाशन करने में सक्षम होता है।

स्रोत:मूल दिखाएं
डिस्क्लेमर: इस पेज पर दी गई जानकारी थर्ड पार्टीज़ से प्राप्त की गई हो सकती है और यह जरूरी नहीं कि KuCoin के विचारों या राय को दर्शाती हो। यह सामग्री केवल सामान्य सूचनात्मक उद्देश्यों के लिए प्रदान की गई है, किसी भी प्रकार के प्रस्तुतीकरण या वारंटी के बिना, न ही इसे वित्तीय या निवेश सलाह के रूप में माना जाएगा। KuCoin किसी भी त्रुटि या चूक के लिए या इस जानकारी के इस्तेमाल से होने वाले किसी भी नतीजे के लिए उत्तरदायी नहीं होगा। डिजिटल संपत्तियों में निवेश जोखिम भरा हो सकता है। कृपया अपनी वित्तीय परिस्थितियों के आधार पर किसी प्रोडक्ट के जोखिमों और अपनी जोखिम सहनशीलता का सावधानीपूर्वक मूल्यांकन करें। अधिक जानकारी के लिए, कृपया हमारे उपयोग के नियम और जोखिम प्रकटीकरण देखें।