ایکسیوس لائبریری پر سپلائی چین حملہ، بری بھیجے گئے پیکیجز 80% کلب ماحول کو متاثر کرتے ہیں

ChainCatcher کی رپورٹ کے مطابق، حملہ آور نے جاوااسکرپٹ کے سب سے مقبول HTTP کلائنٹ لائبریری Axios کے سربراہ مینٹینر کا npm ایکسیس ٹوکن چوری کیا اور اس ٹوکن کا استعمال کرتے ہوئے دو بریکنگ مالویئر ورژن (axios@1.14.1 اور axios@0.3.4) جاری کیے جن میں کراس پلیٹ فارم ریموٹ ایکسیس ٹروجن (RAT) شامل تھا، جس کا مقصد macOS، Windows اور Linux سسٹمز تھا۔ یہ مالویئر پیکیجز npm رجسٹری پر تقریباً 3 گھنٹے تک موجود رہے، جب تک کہ انہیں ہٹایا نہیں گیا۔ سیکورٹی کمپنی Wiz کے ڈیٹا کے مطابق، Axios کا ہفتہ وار ڈاؤن لوڈ 1 ارب سے زائد ہے اور یہ تقریباً 80 فیصد کلاؤڈ اور کوڈ ماحول میں موجود ہے۔ سیکورٹی کمپنی Huntress نے مالویئر پیکیجز کے لانچ ہونے کے صرف 89 سیکنڈ بعد پہلے انفیکشنز کو شناخت کر لیا اور اس ایکسپوزر ونڈو کے دوران کم از کم 135 سسٹمز کو متاثر ہونے کی تصدیق کی۔ قابل ذکر بات یہ ہے کہ Axios پراجیکٹ پہلے سے ہی OIDC قابل اعتماد اشاعت مکینزم اور SLSA سرچھلائی ثبوت جیسے جدید سیکورٹی اقدامات لاگو کر چکا تھا، لیکن حملہ آور نے ان تمام تحفظات کو بالکل دور کر دیا۔ تحقیق سے پتہ چلا کہ پراجیکٹ نے OIDC کو ترتیب دینے کے ساتھ ساتھ روایتی، لمبے عرصے تک درست NPM_TOKEN بھی برقرار رکھا تھا، اور npm جب دونوں طرز کے ٹوکنز ایک ساتھ موجود ہوتے ہیں تو ڈिफالٹ طور پر روایتی ٹوکن کو ترجیح دیتا ہے، جس کی وجہ سے حملہ آور کو OIDC کو توڑنے کی ضرورت نہیں پڑی تاکہ وہ اشاعت کر سکے۔