Trang chủ
Tin tức
Chi tiết

Thư viện Axios bị tấn công chuỗi cung ứng, các gói độc hại lây nhiễm 135 hệ thống

iconTechFlow
Chia sẻ
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconTóm tắt

expand icon
Tin tức trên chuỗi đã được tiết lộ khi các kẻ tấn công xâm phạm token npm của Axios, công bố các phiên bản độc hại axios@1.14.1 và axios@0.30.4 chứa RAT đa nền tảng. Các gói này đã lây nhiễm 135 hệ thống trong 89 giây trước khi bị gỡ bỏ. Axios được sử dụng trong 80% môi trường đám mây, với hơn 100 triệu lượt tải về mỗi tuần. Các kẻ tấn công đã vượt qua OIDC và SLSA bằng cách sử dụng NPM_TOKEN có thời gian sử dụng dài. Việc liệt kê token mới vẫn là trọng tâm chính đối với các nhà phát triển và nhóm bảo mật.

Theo VentureBeat, kẻ tấn công đã đánh cắp mã truy cập npm của người duy trì chính của thư viện HTTP client phổ biến nhất trong JavaScript, Axios, và sử dụng mã này để phát hành hai phiên bản độc hại chứa mã độc truy cập từ xa đa nền tảng (RAT) (axios@1.14.1 và axios@0.30.4), nhắm mục tiêu đến các hệ thống macOS, Windows và Linux. Các gói độc hại đã tồn tại trên registry npm khoảng 3 giờ trước khi bị gỡ bỏ. Theo dữ liệu từ công ty an ninh Wiz, Axios được tải xuống hơn 100 triệu lần mỗi tuần và hiện diện trong khoảng 80% môi trường đám mây và mã nguồn. Công ty an ninh Huntress đã phát hiện các ca nhiễm đầu tiên chỉ 89 giây sau khi gói độc hại được đăng tải và xác nhận ít nhất 135 hệ thống bị xâm phạm trong khoảng thời gian phơi nhiễm. Đáng chú ý, dự án Axios trước đó đã triển khai các biện pháp bảo mật hiện đại như cơ chế phát hành đáng tin cậy OIDC và chứng minh nguồn gốc SLSA, nhưng kẻ tấn công đã hoàn toàn vượt qua các hàng rào bảo mật này. Khảo sát cho thấy, trong khi dự án đã cấu hình OIDC, họ vẫn giữ lại NPM_TOKEN truyền thống có hiệu lực dài hạn, và npm mặc định ưu tiên sử dụng token truyền thống khi cả hai cùng tồn tại, cho phép kẻ tấn công thực hiện việc phát hành mà không cần vượt qua OIDC.

Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này. Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụngTiết lộ rủi ro của chúng tôi.