Perpustakaan Axios Diserang Serangan Rantai Pasok, Paket Jahat Mempengaruhi 80% Lingkungan Cloud

iconChaincatcher
Bagikan
AI summary iconRingkasan
Berita on-chain muncul ketika perpustakaan JavaScript Axios menjadi korban serangan rantai pasok, dengan penyerang menerbitkan dua paket npm jahat yang berisi RAT lintas platform. Paket-paket tersebut, axios@1.14.1 dan axios@0.3.4, dihapus setelah tiga jam, tetapi 135 sistem sudah terinfeksi. Axios digunakan di 80% lingkungan cloud, dengan lebih dari 100 juta unduhan mingguan. Penyerang melewati langkah-langkah keamanan dengan memanfaatkan NPM_TOKEN yang berumur panjang. Pencatatan token baru tetap menjadi fokus bagi pengembang, tetapi insiden ini menyoroti risiko berkelanjutan di dalam ekosistem open-source.

ChainCatcher melaporkan, penyerang mencuri token akses npm dari pemelihara utama Axios, pustaka HTTP klien JavaScript paling populer, dan menggunakan token tersebut untuk merilis dua versi jahat yang berisi trojan akses jarak jauh lintas platform (RAT) (axios@1.14.1 dan axios@0.3.4), yang menargetkan sistem macOS, Windows, dan Linux. Paket jahat tersebut bertahan di registri npm selama sekitar 3 jam sebelum dihapus. Menurut data dari perusahaan keamanan Wiz, Axios diunduh lebih dari 100 juta kali per minggu dan ada di sekitar 80% lingkungan cloud dan kode. Perusahaan keamanan Huntress mendeteksi infeksi pertama hanya 89 detik setelah paket jahat dirilis, dan mengkonfirmasi setidaknya 135 sistem terinfeksi selama jendela eksposur. Perlu dicatat bahwa proyek Axios sebelumnya telah menerapkan langkah-langkah keamanan modern seperti mekanisme rilis tepercaya OIDC dan bukti asal SLSA, tetapi penyerang berhasil melewati semua perlindungan ini. Investigasi menemukan bahwa proyek tersebut tetap mempertahankan NPM_TOKEN tradisional yang berlaku lama sambil mengonfigurasi OIDC, dan npm secara default memberikan prioritas pada token tradisional saat keduanya ada bersamaan, memungkinkan penyerang untuk merilis paket tanpa harus melewati OIDC.

Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini. Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.