Axios 庫遭供應鏈攻擊，黑客利用竊取的 npm 令牌植入遠程木馬，波及約 80% 云環境

ChainCatcher 消息，攻擊者竊取了 JavaScript 最流行 HTTP 客戶端庫 Axios 首席維護者的 npm 訪問令牌，并利用該令牌發布了兩個包含跨平臺遠程訪問木馬（RAT）的惡意版本（[email protected] 和 [email protected]），目標覆蓋 macOS、Windows 及 Linux 系統。惡意包在 npm 注冊表上存活約 3 小時后被移除。據安全公司 Wiz 數據，Axios 每周下載量超 1 億次，存在于約 80% 的云和代碼環境中。安全公司 Huntress 在惡意包上線 89 秒后即檢測到首批感染，并在暴露窗口期內確認至少 135 個系統遭到入侵。值得注意的是，Axios 項目此前已部署了 OIDC 可信發布機制和 SLSA 溯源證明等現代安全措施，但攻擊者完全繞過了這些防線。調查發現，項目在配置 OIDC 的同時仍保留了傳統長期有效的 NPM_TOKEN，而 npm 在兩者共存時默認優先使用傳統令牌，使得攻擊者無需突破 OIDC 即可完成發布。

• 喜歡使用社交軟體關注？關注我們的 Twitter，或者加入 Telegram！
• 想關注最新資訊？ 下載CoinCarp App吧
• 有新聞需要爆料，官方公告需要發布? 來給我們發郵件吧！[email protected]