Uuendus 31. märtsil 2026, kell 13:28 UTC: Artikkel on uuendatud, et lisada kommentaare Hackeni vanema rünnakukindlustuse insenerilt Abdelfattah Ibrahimilt.
Kaks kurjasti Axios npm-versiooni põhjustasid hoiatusi arendajatele oma identimisandmete taasgenereerimiseks ja mõjutatud süsteemide kohta kui kompromitteeritud käsitlemiseks pärast tootepiiri rünnakut, millega saastati populaarne JavaScripti HTTP-kliendi teek.
Kompromitteerimisest teatas esimesena turvafirma Socket, mis ütles, et [email protected] ja [email protected] olid muudetud nii, et need laadisid alla [email protected], kurjasti sõltuvuse, mis käivitus automaatselt paigaldamise ajal enne seda, kui versioonid eemaldati npm-ist.
Turvafirma OX Security andmetel võib muudetud kood anda rünnaku lähtepunktidele kaugjuurdepääsu nakatunud seadmetele, võimaldades neil varastada tundlikku teavet, näiteks sisselogimisandmeid, API-võtmeid ja krüptoraha portfelli andmeid.
Sündmus näitab, kui suur mõju võib ühel kompromitteeritud avatud lähtekoodiga komponendil olla tuhandetele rakendustele, mis sellest sõltuvad, ja kui paljudele – mitte ainult arendajatele, vaid ka platvormidele ja süsteemiga seotud kasutajatele – see ohu teeb.
Turvafirmad soovitavad võtmete taasgenereerimist ja süsteemide auditit
OX Security hoiatas arendajaid, kes olid paigaldanud [email protected] või [email protected], oma süsteemide kohta kui täielikult kompromitteeritud ja nõudis kohe identimisandmete taasgenereerimist, sealhulgas API-võtmeid ja seanssivõtmeid.
Socket ütles, et kompromitteeritud Axios-versioonid olid muudetud nii, et need sisaldasid sõltuvust [email protected] pakendist, mis avaldati juhuslikult enne sündmust ja mille hiljem tuvastati kui kurjasti.
Seotud: Trust Walleti brauserilaiend lülitati Chrome Store’i „vea” tõttu välja, ütles CEO
Firma ütles, et sõltuvus oli konfigureeritud käivituma automaatselt paigaldamise ajal post-install skripti kaudu, võimaldades rünnaku lähtepunktidel koodi käivitada sihtmärgisüsteemides ilma täiendava kasutaja sekkumiseta.
Socket soovitas arendajatel kontrollida oma projekte ja sõltuvusfailisid mõjutatud Axios-versioonide ja seotud [email protected] pakendi suhtes ning eemaldada või tagasihankida kohe kõik kompromitteeritud versioonid.
Hackeni vanem rünnakukindlustuse insener Abdelfattah Ibrahim ütles Cointelegraphile, et kompromitteerimisel võib olla tõsised tagajärjed krüptoraha seotud rakendustele, mis kasutavad Axiosi tagaosa toiminguteks.
„See on halb uudis dappide ja krüptorahaga tegelevate rakenduste jaoks, sest Axios mängib suurt rolli API-kutsete tegemisel,” ütles ta, viidates sellele, et mõjutatud süsteemid võivad hõlmata börsi integratsioone, portfelli saldo kontrollimist ja tehingute edastamist.
Ibrahim ütles, et rünnakus kasutatud mürgis tarkvara töötab täieliku kaugjuurdepääsu trojanina, võimaldades rünnaku lähtepunktidel otsest interaktsiooni kompromitteeritud süsteemidega. Ta lisas, et sündmus rõhutab laiemat nõrkust tootepiiri riskide haldamises.
Eelnevad krüptorahaga seotud sündmused illustreerivad tootepiiri riske
Eelnevad krüptorahaga seotud sündmused on näidanud, kuidas tootepiiri rünnakud võivad eskaleeruda varastatud arendaja andmetest kasutajatele mõjuvate portfelli kaotusteni.
3. jaanuaril teatas chain’i uurija ZachXBT, et laialdase rünnaku käigus olid Ethereum Virtual Machine’i (EVM) ühilduvates võrkudes tühi tühjendatud „sadu” portfellesid, kus igalt ohvrist varastati väikesed summad.
Küberohutusuuringute teostaja Vladimir S. ütles, et sündmus võib olla seotud detsembris Trust Walletiga toimunud rünnakuga, mille tulemusena kaotas ligi 2500 portfelli üle 7 miljoni dollari.
Trust Wallet teatas hiljem, et rünnak võis alguse saada tootepiiri kompromitteerimisest, millesse olid kaasatud tema arendustööde protsessis kasutatud npm-pakendid.
Magazine: Keegi ei tea, kas kvantturvaline krüptograafia üldse töötab
Allikas: https://cointelegraph.com/news/axios-npm-supply-chain-attack-malicious-dependency?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
