小众软件
·
axios 又出事了:npm 两个版本被供应链投毒
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
axios库的1.14.1和0.30.4版本在npm上被植入恶意代码,属于供应链攻击。攻击者通过劫持维护者账户发布恶意依赖,用户在执行npm install时可能下载后门程序。建议检查项目依赖并降级到安全版本。
🎯
关键要点
-
axios库的1.14.1和0.30.4版本在npm上被植入恶意代码,属于供应链攻击。
-
攻击者通过劫持维护者账户发布恶意依赖,利用npm生命周期脚本执行代码。
-
用户在执行npm install时可能下载后门程序,影响Node.js、前端和后端项目。
-
恶意版本为axios@1.14.1和axios@0.30.4,攻击手法为绕过CI/CD直接发布恶意依赖。
-
攻击者服务器IP为142.11.206.73,存在多种平台的payload。
-
自查方法包括检查npm依赖和node_modules,若中招需降级到安全版本。
-
如系统已受陷,需从干净状态重建并轮换所有凭证。
-
建议加强CI/CD安全,禁止postinstall脚本并屏蔽攻击者服务器。
❓
延伸问答
axios库的哪些版本被植入了恶意代码?
被植入恶意代码的版本是axios@1.14.1和axios@0.30.4。
这次供应链攻击是如何进行的?
攻击者通过劫持维护者账户,发布恶意依赖,并利用npm生命周期脚本执行代码。
用户在执行npm install时可能会遇到什么风险?
用户可能下载并运行后门程序,影响Node.js、前端和后端项目。
如果我的项目中使用了受影响的axios版本,我该怎么办?
建议检查项目依赖,降级到安全版本axios@1.14.0或axios@0.30.3。
如何检查我的项目是否中招?
可以使用命令检查npm依赖,查看是否包含axios的受影响版本。
为了防止类似攻击,我应该采取哪些安全措施?
建议加强CI/CD安全,禁止postinstall脚本,并屏蔽攻击者服务器的IP。
➡️
