ChainCatcherの情報によると、攻撃者はJavaScriptで最も人気のあるHTTPクライアントライブラリであるAxiosの主要メンテナーのnpmアクセストークンを盗み、そのトークンを利用してmacOS、Windows、Linuxシステムを標的としたクロスプラットフォームリモートアクセストロイの木馬(RAT)を含む2つの悪意のあるバージョン(axios@1.14.1およびaxios@0.3.4)を公開しました。この悪意のあるパッケージはnpmレジストリ上で約3時間後に削除されました。セキュリティ企業Wizのデータによると、Axiosは週間ダウンロード数が1億回以上であり、約80%のクラウドおよびコード環境に存在しています。セキュリティ企業Huntressは、悪意のあるパッケージが公開されて89秒後に最初の感染を検出し、暴露期間中に少なくとも135台のシステムが侵入されたことを確認しました。注目すべきは、Axiosプロジェクトは以前からOIDC信頼できるリリースメカニズムやSLSAトレーサビリティ証明などの現代的なセキュリティ対策を導入していたにもかかわらず、攻撃者はこれらの防御を完全に回避したことです。調査の結果、プロジェクトはOIDCを設定しながらも従来の長期有効なNPM_TOKENをそのまま保持しており、npmは両者が共存する場合、デフォルトで従来のトークンを優先して使用するため、攻撃者はOIDCを突破することなく公開を実行できました。
Axiosライブラリがサプライチェーン攻撃の標的となり、悪意のあるパッケージが80%のクラウド環境に影響
Chaincatcher共有
Axios JavaScriptライブラリがサプライチェーン攻撃の標的となり、攻撃者がクロスプラットフォームRATを含む2つの悪意のあるnpmパッケージを公開したことがオンチェーンニュースで明らかになりました。これらのパッケージ、axios@1.14.1およびaxios@0.3.4は3時間後に削除されましたが、すでに135のシステムが感染していました。Axiosはクラウド環境の80%で使用されており、週間ダウンロード数は1億回以上です。攻撃者は長期間有効なNPM_TOKENを悪用してセキュリティ対策を回避しました。新規トークンのリストリングは開発者にとって引き続き注目されていますが、この出来事はオープンソースエコシステムにおける継続的なリスクを浮き彫りにしています。
出典:原文を表示
免責事項: 本ページの情報はサードパーティからのものであり、必ずしもKuCoinの見解や意見を反映しているわけではありません。この内容は一般的な情報提供のみを目的として提供されており、いかなる種類の表明や保証もなく、金融または投資助言として解釈されるものでもありません。KuCoinは誤記や脱落、またはこの情報の使用に起因するいかなる結果に対しても責任を負いません。
デジタル資産への投資にはリスクが伴います。商品のリスクとリスク許容度をご自身の財務状況に基づいて慎重に評価してください。詳しくは利用規約およびリスク開示を参照してください。