供應鏈攻擊影響 Axios npm 發布,用戶被敦促旋轉金鑰

/ 1 閱讀所需時間

供應鏈攻擊影響 Axios npm 發布,用戶被敦促旋轉金鑰

攻擊概要

安全公司已標示 axios@1.14.1 和 0.30.4 版本受到攻擊,這些版本被發現包含惡意依賴,導致開發人員的設備可能被植入遠端存取木馬(RAT)。

影響範圍

此事件是歷史上針對 npm 前十大包的最為精細的供應鏈攻擊之一,影響範圍廣泛,特別是使用 axios 作為 HTTP 客戶端的開發者。

應對建議

  • 用戶應立即檢查其專案中的 axios 依賴版本,若使用受影響版本,應立即回滾至安全版本。
  • 建議旋轉所有與 axios 有關的認證金鑰,以降低被攻擊風險。
  • 開發團隊應加強對第三方套件的審查流程,並建立更嚴格的依賴驗證機制。

相關連結

https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan

來源:https://cointelegraph.com/news/axios-npm-supply-chain-attack-malicious-dependency

相關文章

返回頂端