Axios 1.14.1にサプライチェーン攻撃、悪意あるnpm依存関係を通じて被害

ブロックチェーンセキュリティ企業Slow Fogは、悪意あるaxiosリリース1.14.1と0.30.4がnpmを通じてplain-crypto-jsマルウェアを取り込んだとして、緊急警告を発した。更新情報によると、侵害されたパッケージは仮想通貨開発者をクロスプラットフォームRATや認証情報窃取の危険にさらしており、この事案は一般的なサプライチェーン侵害から、具体的な下流リスクを伴うマルウェアキャンペーンへと深刻化した。既存のガイダンスは引き続き、攻撃期間中に影響を受けたパッケージをインストールしたシステムに焦点を当てており、侵害指標の確認や、漏えいが疑われる場合の認証情報のローテーションが含まれる。