ChainCatcher'e göre, saldırgan, JavaScript'in en popüler HTTP istemci kütüphanesi Axios'un baş bakıcısının npm erişim jetonunu çaldı ve bu jetonu kullanarak macOS, Windows ve Linux sistemlerini hedef alan, çapraz platform uzaktan erişim atları (RAT) içeren iki zararlı sürüm (axios@1.14.1 ve axios@0.3.4) yayınladı. Zararlı paketler, npm kayıt defterinde yaklaşık 3 saat kalıp kaldırıldı. Güvenlik şirketi Wiz'in verilerine göre, Axios haftada 100 milyondan fazla kez indiriliyor ve yaklaşık %80 bulut ve kod ortamında bulunuyor. Güvenlik şirketi Huntress, zararlı paketin yayınlandığı 89 saniye içinde ilk enfeksiyonları tespit etti ve maruz kalma süresi içinde en az 135 sistemin işgal edildiğini doğruladı. Axios projesi daha önce OIDC güvenilir yayıncılık mekanizmasını ve SLSA kaynak izleme kanıtlarını gibi modern güvenlik önlemlerini uygulamıştı, ancak saldırgan bu korumaları tamamen atladı. Araştırmalar, projenin OIDC yapılandırılırken geleneksel uzun ömürlü NPM_TOKEN'ları da koruduğunu ve npm'in her ikisi birlikte varken varsayılan olarak geleneksel jetonu öncelikli kullandığını ortaya koydu; bu da saldırganın OIDC'yi aşmadan yayınlama yapmasını sağladı.
Axios Kütüphanesi, Tedarik Zinciri Saldırısına Maruz Kaldı, Zararlı Paketler Bulut Ortamlarının %80'ini Etkiledi
ChaincatcherPaylaş
Axios JavaScript kütüphanesi, tedarik zinciri saldırısına uğradı ve saldırganlar çoklu platformlu RAT'ler içeren iki zararlı npm paketi yayınladı. Paketler, axios@1.14.1 ve axios@0.3.4, üç saat sonra kaldırıldı, ancak 135 sistem zaten bulaşmıştı. Axios, bulut ortamlarının %80'inde kullanılıyor ve haftada 100 milyondan fazla indirme alıyor. Saldırganlar, uzun ömürlü bir NPM_TOKEN'u kullanarak güvenlik önlemlerini atladı. Yeni token listelemeleri geliştiriciler için hâlâ öncelikli, ancak bu olay açık kaynak ekosistemlerindeki sürekli riskleri vurgulamaktadır.
Kaynak:Orijinalini göster
Yasal Uyarı: Bu sayfadaki bilgiler üçüncü şahıslardan alınmış olabilir ve KuCoin'in görüşlerini veya fikirlerini yansıtmayabilir. Bu içerik, herhangi bir beyan veya garanti olmaksızın yalnızca genel bilgilendirme amacıyla sağlanmıştır ve finansal veya yatırım tavsiyesi olarak yorumlanamaz. KuCoin, herhangi bir hata veya eksiklikten veya bu bilgilerin kullanımından kaynaklanan sonuçtan sorumlu değildir.
Dijital varlıklara yapılan yatırımlar riskli olabilir. Lütfen bir ürünün risklerini ve risk toleransınızı kendi finansal koşullarınıza göre dikkatlice değerlendirin. Daha fazla bilgi için lütfen Kullanım Koşullarımıza ve Risk Açıklamamıza bakınız.