Axios 庫遭供應鏈攻擊,駭客利用竊取的 npm 代幣植入遠端木馬,波及約 80%雲端環境
20
1
深潮 TechFlow 訊息,04 月 02 日,據 VentureBeat 報道,攻擊者竊取了 JavaScript 最流行 HTTP 用戶端庫 Axios 首席維護者的 npm 訪問令牌,並利用該令牌發布了兩個包含跨平台遠端存取木馬( WindowsT)的惡意版本(axP.1.14.13.ios.14.13、Windows)。 惡意包在 npm 註冊表上存活約 3 小時後移除。
根據安全公司 Wiz 數據,Axios 每週下載量超 1 億次,存在於約 80%的雲端和程式碼環境中。 安全公司 Huntress 在惡意包上線 89 秒後即偵測到首批感染,並在暴露窗口期內確認至少 135 個系統遭到入侵。
值得注意的是,Axios 專案先前已部署了 OIDC 可信發布機制和 SLSA 溯源證明等現代安全措施,但攻擊者完全繞過了這些防線。 調查發現,專案在配置 OIDC 的同時仍保留了傳統長期有效的 NPM_TOKEN,而 npm 在兩者共存時預設優先使用傳統令牌,使得攻擊者無需突破 OIDC 即可完成發布。
來源:
