小众软件
·
axios 又出事了:npm 两个版本被供应链投毒
内容提要
axios库的1.14.1和0.30.4版本在npm上被植入恶意代码,属于供应链攻击。攻击者通过劫持维护者账户发布恶意依赖,用户在执行npm install时可能下载后门程序。建议检查项目依赖并降级到安全版本。
关键要点
-
axios库的1.14.1和0.30.4版本在npm上被植入恶意代码,属于供应链攻击。
-
攻击者通过劫持维护者账户发布恶意依赖,利用npm生命周期脚本执行代码。
-
用户在执行npm install时可能下载后门程序,影响Node.js、前端和后端项目。
-
恶意版本为axios@1.14.1和axios@0.30.4,攻击手法为绕过CI/CD直接发布恶意依赖。
-
攻击者服务器IP为142.11.206.73,存在多种平台的payload。
-
自查方法包括检查npm依赖和node_modules,若中招需降级到安全版本。
-
如系统已受陷,需从干净状态重建并轮换所有凭证。
-
建议加强CI/CD安全,禁止postinstall脚本并屏蔽攻击者服务器。
延伸解读
供应链攻击的影响
此次axios库的供应链攻击不仅影响了特定版本,还可能波及所有依赖axios的项目。开发者需高度警惕,确保项目中未使用受影响版本,以防止潜在的安全隐患。
自查与应对措施
用户应立即检查项目依赖,确认是否使用了被植入恶意代码的版本。若发现中招,需迅速降级到安全版本,并从干净状态重建系统,确保所有凭证安全。
加强CI/CD安全
为了防止类似攻击,建议开发团队加强CI/CD流程的安全性,禁止postinstall脚本的执行,并屏蔽攻击者的服务器IP。这些措施能有效降低未来被攻击的风险。
延伸问答
axios库的哪些版本被植入了恶意代码?
被植入恶意代码的版本是axios@1.14.1和axios@0.30.4。
这次供应链攻击是如何进行的?
攻击者通过劫持维护者账户,发布恶意依赖,并利用npm生命周期脚本执行代码。
用户在执行npm install时可能会遇到什么风险?
用户可能下载并运行后门程序,影响Node.js、前端和后端项目。
如果我的项目中使用了受影响的axios版本,我该怎么办?
建议检查项目依赖,降级到安全版本axios@1.14.0或axios@0.30.3。
如何检查我的项目是否中招?
可以使用命令检查npm依赖,查看是否包含axios的受影响版本。
为了防止类似攻击,我应该采取哪些安全措施?
建议加强CI/CD安全,禁止postinstall脚本,并屏蔽攻击者服务器的IP。
