axios 又出事了:npm 两个版本被供应链投毒
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
axios库的1.14.1和0.30.4版本在npm上被植入恶意代码,属于供应链攻击。攻击者通过劫持维护者账户发布恶意依赖,用户在执行npm install时可能下载后门程序。建议检查项目依赖并降级到安全版本。
🎯
关键要点
-
axios库的1.14.1和0.30.4版本在npm上被植入恶意代码,属于供应链攻击。
-
攻击者通过劫持维护者账户发布恶意依赖,利用npm生命周期脚本执行代码。
-
用户在执行npm install时可能下载后门程序,影响Node.js、前端和后端项目。
-
恶意版本为axios@1.14.1和axios@0.30.4,攻击手法为绕过CI/CD直接发布恶意依赖。
-
攻击者服务器IP为142.11.206.73,存在多种平台的payload。
-
自查方法包括检查npm依赖和node_modules,若中招需降级到安全版本。
-
如系统已受陷,需从干净状态重建并轮换所有凭证。
-
建议加强CI/CD安全,禁止postinstall脚本并屏蔽攻击者服务器。
❓
延伸问答
axios库的哪些版本被植入了恶意代码?
被植入恶意代码的axios版本为1.14.1和0.30.4。
攻击者是如何发布恶意依赖的?
攻击者通过劫持维护者账户,绕过CI/CD直接发布恶意依赖。
用户在执行npm install时可能会遇到什么风险?
用户在执行npm install时可能下载并运行后门程序,影响项目安全。
如果我的项目中使用了受影响的axios版本,我该如何处理?
应检查项目依赖并降级到安全版本axios@1.14.0或axios@0.30.3。
如何检查我的项目是否受到了影响?
可以通过命令检查npm list axios并查看是否包含1.14.1或0.30.4。
如果系统已经受到攻击,我应该采取什么措施?
需要从干净状态重建系统,并轮换所有凭证,如npm token和AWS密钥。
➡️
