ChainCatcher 消息,攻擊者竊取了 JavaScript 最流行 HTTP 客戶端庫 Axios 首席維護者的 npm 訪問令牌,並利用該令牌發布了兩個包含跨平台遠程訪問木馬(RAT)的惡意版本(axios@1.14.1 和 axios@0.3.4),目標覆蓋 macOS、Windows 及 Linux 系統。惡意套件在 npm 註冊表上存活約 3 小時後被移除。據安全公司 Wiz 數據,Axios 每週下載量超 1 億次,存在於約 80% 的雲和程式碼環境中。安全公司 Huntress 在惡意套件上線 89 秒後即檢測到首批感染,並在暴露窗口期內確認至少 135 個系統遭到入侵。值得注意的是,Axios 專案此前已部署了 OIDC 可信發布機制和 SLSA 溯源證明等現代安全措施,但攻擊者完全繞過了這些防線。調查發現,專案在配置 OIDC 的同時仍保留了傳統長期有效的 NPM_TOKEN,而 npm 在兩者共存時預設優先使用傳統令牌,使得攻擊者無需突破 OIDC 即可完成發布。
Axios 函式庫遭受供應鏈攻擊,惡意套件影響 80% 的雲端環境
Chaincatcher分享
區塊鏈新聞爆出,Axios JavaScript 函式庫遭遇供應鏈攻擊,攻擊者發布了兩個包含跨平台 RAT 的惡意 npm 套件。這兩個套件 axios@1.14.1 和 axios@0.3.4 在三小時後被移除,但已有 135 個系統受感染。Axios 被應用於 80% 的雲端環境,每周下載量超過 1 億次。攻擊者透過利用長期有效的 NPM_TOKEN 繞過安全措施。新代幣上線仍是開發者的重點,但此事件突顯了開源生態系統中持續存在的風險。
來源:顯示原文
免責聲明:本頁面資訊可能來自第三方,不一定反映KuCoin的觀點或意見。本內容僅供一般參考之用,不構成任何形式的陳述或保證,也不應被解釋為財務或投資建議。 KuCoin 對任何錯誤或遺漏,或因使用該資訊而導致的任何結果不承擔任何責任。
虛擬資產投資可能存在風險。請您根據自身的財務狀況仔細評估產品的風險以及您的風險承受能力。如需了解更多信息,請參閱我們的使用條款和風險披露 。