ایکسیوس لائبریری پر سپلائی چین حملہ، ملیشیس پیکیجز نے 135 سسٹمز کو انفیکٹ کیا

ونچر بیٹ کی رپورٹ کے مطابق، حملہ آوروں نے جاوا اسکرپٹ کے سب سے زیادہ استعمال ہونے والے HTTP کلائنٹ لائبریری Axios کے اہم مینٹینر کا npm ایکسیس ٹوکن چوری کیا اور اس ٹوکن کا استعمال کرتے ہوئے دو بریک ٹھیک مالویئر ورژن (axios@1.14.1 اور axios@0.30.4) جاری کیے جن میں کراس پلیٹ فارم ریموٹ ایکسس ٹروجن (RAT) شامل تھا، جس کا مقصد macOS، Windows اور Linux سسٹمز تھا۔ یہ مالویئر پیکیجز npm رجسٹری پر تقریباً 3 گھنٹے تک موجود رہے اور پھر ہٹا دیے گئے۔ سیکورٹی کمپنی Wiz کے ڈیٹا کے مطابق، Axios کا ہفتہ وار ڈاؤن لوڈ 1 ارب سے زائد ہے اور یہ تقریباً 80 فیصد کلاؤڈ اور کوڈ ماحول میں موجود ہے۔ سیکورٹی کمپنی Huntress نے مالویئر پیکیجز کے شروع ہونے کے صرف 89 سیکنڈ بعد پہلے انفیکشنز کو ڈیٹیکٹ کر لیا اور اس خطرے کے دوران کم از کم 135 سسٹمز کو انفیکٹ ہونے کی تصدیق کی۔ قابل ذکر بات یہ ہے کہ Axios پراجیکٹ پہلے ہی OIDC قابل اعتماد جاری کرنے کے نظام اور SLSA سرچشل پرووف جیسے جدید سیکورٹی اقدامات لاگو کر چکا تھا، لیکن حملہ آوروں نے ان تمام دفاعی لائنوں کو بالکل بائی پاس کر دیا۔ تحقیق میں پایا گیا کہ پراجیکٹ نے OIDC کو ساتھ ہی قدیم، لمبے عرصے تک درست NPM_TOKEN بھی برقرار رکھا تھا، اور npm جب دونوں موجود ہوتے ہیں تو ڈیفالٹ طور پر قدیم ٹوکن کو ترجیح دیتا ہے، جس سے حملہ آور OIDC کو توڑنے کے بغیر ہی جاری کر سکتے ہیں۔