ChainCatcher сообщает, что злоумышленник похитил npm-токен доступа главного сопровождающего самого популярного JavaScript-клиента HTTP-библиотеки Axios и использовал этот токен для публикации двух вредоносных версий (axios@1.14.1 и axios@0.3.4), содержащих межплатформенный троян удаленного доступа (RAT), нацеленный на системы macOS, Windows и Linux. Вредоносные пакеты существовали в реестре npm около 3 часов, прежде чем были удалены. Согласно данным компании Wiz, Axios загружается более чем 100 миллионов раз в неделю и присутствует примерно в 80% облачных и кодовых сред. Компания Huntress обнаружила первые заражения через 89 секунд после публикации вредоносных пакетов и подтвердила, что в течение окна экспозиции было скомпрометировано как минимум 135 систем. Примечательно, что проект Axios ранее внедрил современные меры безопасности, такие как OIDC-доверенная публикация и SLSA-доказательства происхождения, однако злоумышленник полностью обойшел эти защиты. Расследование показало, что проект одновременно настроил OIDC и сохранил традиционный долгосрочный NPM_TOKEN, а npm по умолчанию отдает приоритет традиционному токену при их совместном существовании, что позволило злоумышленнику опубликовать вредоносные пакеты без необходимости обхода OIDC.
Библиотека Axios подверглась атаке через цепочку поставок: вредоносные пакеты затрагивают 80% облачных сред
ChaincatcherПоделиться
В сети появились новости о том, что JavaScript-библиотека Axios стала жертвой атаки цепочки поставок: злоумышленники опубликовали два вредоносных пакета npm, содержащих кроссплатформенные RAT. Пакеты axios@1.14.1 и axios@0.3.4 были удалены спустя три часа, но уже 135 систем были заражены. Axios используется в 80% облачных сред и скачивается более 100 миллионов раз в неделю. Злоумышленники обходили меры безопасности, эксплуатируя долгоживущий NPM_TOKEN. Новые листинги токенов остаются приоритетом для разработчиков, но этот инцидент подчеркивает постоянные риски в экосистемах с открытым исходным кодом.
Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации.
Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.