Beranda
Berita
Detail

Perpustakaan Axios Diserang Serangan Rantai Pasok, Paket Jahat Menginfeksi 135 Sistem

iconTechFlow
Bagikan
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRingkasan

expand icon
Berita on-chain muncul ketika penyerang mengompromikan token npm Axios, menerbitkan axios@1.14.1 dan axios@0.30.4 yang berisi RAT lintas platform. Paket-paket tersebut menginfeksi 135 sistem dalam 89 detik sebelum dihapus. Axios digunakan di 80% lingkungan cloud, dengan lebih dari 100 juta unduhan mingguan. Penyerang melewati OIDC dan SLSA menggunakan NPM_TOKEN yang berumur panjang. Pencatatan token baru tetap menjadi fokus utama bagi pengembang dan tim keamanan.

Menurut VentureBeat, penyerang mencuri token akses npm dari pemelihara utama Axios, pustaka HTTP klien JavaScript paling populer, dan memanfaatkan token tersebut untuk merilis dua versi jahat yang berisi trojan akses jarak jauh lintas platform (RAT) (axios@1.14.1 dan axios@0.30.4), yang menargetkan sistem macOS, Windows, dan Linux. Paket jahat tersebut dihapus dari registri npm setelah bertahan sekitar 3 jam. Menurut data dari perusahaan keamanan Wiz, Axios diunduh lebih dari 100 juta kali per minggu dan ada di sekitar 80% lingkungan cloud dan kode. Perusahaan keamanan Huntress mendeteksi infeksi pertama hanya 89 detik setelah paket jahat dirilis, dan mengonfirmasi setidaknya 135 sistem terinfeksi selama jendela eksposur. Perlu dicatat bahwa proyek Axios sebelumnya telah menerapkan langkah-langkah keamanan modern seperti mekanisme rilis tepercaya OIDC dan bukti asal SLSA, tetapi penyerang berhasil melewati semua perlindungan ini. Penyelidikan menemukan bahwa proyek tersebut tetap mempertahankan NPM_TOKEN tradisional yang berlaku lama saat mengonfigurasi OIDC, dan npm secara default memprioritaskan token tradisional saat keduanya ada bersamaan, memungkinkan penyerang untuk merilis paket tanpa harus menembus OIDC.

Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini. Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.