【安全事件】axios前端库npm供应链投毒预警通告
💡
原文中文,约3900字,阅读约需10分钟。
📝
内容提要
绿盟科技CERT监测到axios的npm仓库遭受供应链攻击,攻击者发布了带有木马的恶意版本,影响了axios 1.14.1和0.30.4。建议用户立即降级并清除恶意依赖,同时建立安全审计机制以防范此类威胁。
🎯
关键要点
- 绿盟科技CERT监测到axios的npm仓库遭受供应链攻击,攻击者发布了带有木马的恶意版本。
- 受影响的axios版本为1.14.1和0.30.4,影响范围广泛,每周下载量超过3亿次。
- 攻击者窃取了axios项目主要维护者的账户,并通过npm CLI手动发布了恶意版本。
- 攻击者在恶意包中植入了自毁逻辑,确保木马执行后自动删除自身脚本文件。
- 建议用户立即降级axios版本并清除恶意依赖,同时建立安全审计机制以防范此类威胁。
- 用户需检查项目中是否存在恶意的axios版本,并采取相应的安全措施。
❓
延伸问答
axios的npm仓库遭受了什么类型的攻击?
axios的npm仓库遭受了供应链投毒攻击,攻击者发布了带有木马的恶意版本。
受影响的axios版本有哪些?
受影响的axios版本为1.14.1和0.30.4。
用户应该如何处理受影响的axios版本?
用户应立即将axios降级为安全版本,并清除恶意依赖。
攻击者是如何发布恶意版本的?
攻击者窃取了axios主要维护者的账户,并通过npm CLI手动发布了恶意版本。
如何检查项目中是否存在恶意的axios版本?
可以使用命令检查项目依赖中的axios版本,或检查lock文件中的版本。
此次事件对开源社区有什么启示?
此次事件提醒开源社区重视供应链安全,建议建立常态化的安全审计机制。
➡️
