Trang chủ
Tin tức
Chi tiết

Thư viện Axios bị tấn công chuỗi cung ứng, các gói độc hại ảnh hưởng đến 80% môi trường đám mây

iconChaincatcher
Chia sẻ
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconTóm tắt

expand icon
Tin tức trên chuỗi đã xuất hiện khi thư viện JavaScript Axios trở thành nạn nhân của cuộc tấn công chuỗi cung ứng, với kẻ tấn công công bố hai gói npm độc hại chứa RAT đa nền tảng. Các gói này, axios@1.14.1 và axios@0.3.4, đã bị gỡ bỏ sau ba giờ, nhưng 135 hệ thống đã bị lây nhiễm. Axios được sử dụng trong 80% môi trường đám mây, với hơn 100 triệu lượt tải xuống mỗi tuần. Kẻ tấn công đã vượt qua các biện pháp bảo mật bằng cách khai thác NPM_TOKEN có thời gian sử dụng dài. Việc liệt kê token mới vẫn là trọng tâm của các nhà phát triển, nhưng sự cố này làm nổi bật những rủi ro liên tục tồn tại trong các hệ sinh thái mã nguồn mở.

ChainCatcher đưa tin, kẻ tấn công đã đánh cắp mã truy cập npm của người duy trì chính của thư viện HTTP client phổ biến nhất trong JavaScript là Axios, và sử dụng mã này để đăng tải hai phiên bản độc hại chứa mã độc truy cập từ xa đa nền tảng (RAT) (axios@1.14.1 và axios@0.3.4), nhắm mục tiêu đến các hệ thống macOS, Windows và Linux. Các gói độc hại đã tồn tại trên registry npm khoảng 3 giờ trước khi bị gỡ bỏ. Theo dữ liệu từ công ty bảo mật Wiz, Axios có hơn 100 triệu lượt tải xuống mỗi tuần và hiện diện trong khoảng 80% môi trường đám mây và mã nguồn. Công ty bảo mật Huntress đã phát hiện các ca nhiễm đầu tiên chỉ sau 89 giây kể từ khi gói độc hại được đăng tải, và xác nhận ít nhất 135 hệ thống bị xâm phạm trong khoảng thời gian bị phơi nhiễm. Đáng chú ý, dự án Axios trước đó đã triển khai các biện pháp bảo mật hiện đại như cơ chế phát hành đáng tin cậy OIDC và bằng chứng nguồn gốc SLSA, nhưng kẻ tấn công đã hoàn toàn vượt qua các hàng rào bảo mật này. Khảo sát cho thấy, trong khi dự án đã cấu hình OIDC, họ vẫn giữ lại NPM_TOKEN truyền thống có thời hạn dài, và npm mặc định ưu tiên sử dụng token truyền thống khi cả hai cùng tồn tại, cho phép kẻ tấn công thực hiện việc đăng tải mà không cần vượt qua OIDC.

Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này. Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụngTiết lộ rủi ro của chúng tôi.