流行的HTTP客户端库Axios在NPM平台的仓库被黑客攻击,黑客通过某种方式获得开发者管理员账号和密码,然后发布两个恶意版本[email protected]和[email protected]版。
带毒版本并未直接在Axios添加恶意代码,而是偷偷注入隐藏依赖[email protected]版,因此开发者执行安装时也会自动执行后门程序,最终会被安装远程访问木马。
Axios是全球最流行的JavaScriptHTTP库之一,每周下载量超过3亿次,任何在3月31日前后执行过npminstall或npmupdate的项目,只要锁定到这两个带毒版本,则都可能被植入了远程木马。
目前NPM官方已经从仓库中删除携带后门的恶意依赖,不过目前项目主要开发者尚未回应,所以还不清楚账号如何被泄露、现在是否已经做好了必要的补救措施。
下面是安全建议:
1.立即降级:根据项目要求降级到1.14.0版或0.30.3版,并使用overrides等锁定安全版本。
2.立即移除恶意依赖项:rm-rfnode_modules/plain-crypto-js&&npminstall--ignore-scripts
3.检查是否已经被感染:npmlistaxios|grep-E"1.14.1|0.30.4"观察输出中的版本
4.搜索系统中是否有可疑文件:/Library/Caches/com.apple.act.mond(macOS)、/tmp/ld.py(Linux)
5.添加防御措施:在CI/CD中强制添加--ignore-scripts,封锁sfrclak.com域名和142.11.206.73
6.建议开发者立即轮换所有密钥以提升安全性,如有必要甚至可以重建环境。
详细安全报告请访问:StepSecurity
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】