Бібліотеку Axios атаковано через ланцюг поставок: зловмисні пакунки впливають на 80% хмарних середовищ

iconChaincatcher
Поділитися
AI summary iconКороткий зміст
Он-чейн новина вийшла, коли бібліотека JavaScript Axios стала жертвою атаки ланцюга постачання: нападники опублікували два шкідливі npm-пакети з крос-платформними RAT. Пакети axios@1.14.1 та axios@0.3.4 були видалені через три години, але вже 135 систем було заражено. Axios використовується в 80% хмарних середовищ і завантажується понад 100 мільйонів разів на тиждень. Нападники обійшли заходи безпеки, використовуючи довготривалий NPM_TOKEN. Нові токени залишаються пріоритетом для розробників, але цей інцидент підкреслює постійні ризики в екосистемах відкритого коду.

ChainCatcher повідомляє, що зловмисник вкрав токен доступу npm головного супроводжувача Axios — найпопулярнішої JavaScript-бібліотеки HTTP-клієнта — і використав його для публікації двох шкідливих версій (axios@1.14.1 та axios@0.3.4), що містять міжплатформний RAT-троян. Метою були системи macOS, Windows та Linux. Шкідливі пакунки були видалені з реєстру npm через приблизно 3 години. За даними компанії Wiz, Axios завантажується понад 100 мільйонів разів на тиждень і присутній у приблизно 80 % хмарних та кодових середовищ. Компанія Huntress виявила перші зараження через 89 секунд після публікації шкідливого пакунка та підтвердила, що за час відкритого вікна було заражено щонайменше 135 систем. Варто зазначити, що проект Axios раніше впровадив сучасні заходи безпеки, зокрема OIDC-підтвердження надійного видання та SLSA-докази походження, але зловмисник повністю обійшов ці захисти. Розслідування виявило, що проект одночасно використовував OIDC та традиційний довгостроковий NPM_TOKEN, а npm за замовчуванням надавав перевагу традиційному токену, що дозволило зловмиснику опублікувати шкідливий код без необхідності обходити OIDC.

Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації. Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.