Perpustakaan Axios Diserang Serangan Rantaian Pemasok, Paket Jahat Mempengaruhi 80% Lingkungan Awan

iconChaincatcher
Kongsi
AI summary iconRingkasan
Berita di rantai blok muncul apabila pustaka JavaScript Axios menjadi mangsa serangan rantai bekalan, dengan penyerang menerbitkan dua paket npm jahat yang mengandungi RAT lintas platform. Paket-paket tersebut, axios@1.14.1 dan axios@0.3.4, telah dihapuskan selepas tiga jam, tetapi 135 sistem sudah terjejas. Axios digunakan dalam 80% persekitaran awan, dengan lebih daripada 100 juta muat turun mingguan. Penyerang melepasi langkah keselamatan dengan memanfaatkan NPM_TOKEN yang lama. Pendaftaran token baru masih menjadi fokus utama pembangun, tetapi insiden ini menonjolkan risiko berterusan dalam ekosistem sumber terbuka.

ChainCatcher melaporkan bahawa penyerang mencuri token akses npm dari pengekalk utama Axios, pustaka HTTP klien JavaScript yang paling popular, dan menggunakan token tersebut untuk menerbitkan dua versi jahat yang mengandungi trojan akses jauh lintas platform (RAT) (axios@1.14.1 dan axios@0.3.4), yang menargetkan sistem macOS, Windows, dan Linux. Paket jahat tersebut dihapus dari registri npm selepas bertahan selama kira-kira 3 jam. Menurut data dari syarikat keselamatan Wiz, Axios diunduh lebih daripada 100 juta kali seminggu dan wujud dalam sekitar 80% persekitaran awan dan kod. Syarikat keselamatan Huntress mengesan infeksi pertama hanya 89 saat selepas penerbitan paket jahat tersebut, dan mengesahkan sekurang-kurangnya 135 sistem telah diserang semasa jendela paparan. Perlu diperhatikan bahawa projek Axios sebelum ini telah melaksanakan langkah keselamatan moden seperti mekanisme pelepasan boleh dipercayai OIDC dan bukti asal SLSA, tetapi penyerang berjaya melintasi semua pertahanan ini. Penyiasatan mendapati bahawa projek tersebut masih menyimpan NPM_TOKEN tradisional yang berkuasa panjang semasa mengkonfigurasi OIDC, dan npm secara lalai memberi keutamaan kepada token tradisional apabila kedua-duanya wujud, membolehkan penyerang menerbitkan tanpa perlu melepasi OIDC.

Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini. Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.