Axios 1.14.1遭供应链攻击,恶意 npm 依赖成入侵入口
据 Slow Fog 称,恶意 axios 版本 1.14.1 和 0.30.4 通过 npm 引入 plain-crypto-js 恶意软件,使开发者面临跨平台 RAT 感染和凭证窃取风险。
摘要
区块链安全公司 Slow Fog 发布紧急警告称,恶意 axios 版本 1.14.1 和 0.30.4 通过 npm 引入了 plain-crypto-js 恶意软件。更新信息显示,遭篡改的软件包使加密货币开发者面临跨平台远程访问木马感染和凭证窃取风险,令该事件从一般性供应链受损升级为具有明确下游风险的恶意软件攻击活动。现有指导意见仍聚焦于在攻击窗口期安装了受影响软件包的系统,包括审查受损指标,并在怀疑存在暴露时轮换凭证。
术语与概念
- 供应链攻击: 一种网络攻击,攻击者通过破坏受信任的软件组件或依赖,使恶意代码传播至下游用户。
- npm: 一种用于分发库和依赖的 JavaScript 包管理器和注册表,因此是软件供应链攻击的常见目标。
- RATs: 远程访问木马是一类恶意程序,可让攻击者未经授权控制受感染系统。