更新時間:2026 年 3 月 31 日下午 1:28(UTC +8):本文已更新,加入 Hacken 高級攻擊性安全工程師 Abdelfattah Ibrahim 的評論。
兩個惡意的 Axios npm 發布版本引發警告,要求開發者輪換憑證並將受影響的系統視為已遭入侵,此前一次供應鏈攻擊污染了這個流行的 JavaScript HTTP 客戶端庫。
網路安全公司 Socket 首先報告了這次入侵,該公司表示 [email protected] 和 [email protected] 被修改以引入 [email protected],這是一個惡意依賴項,在這些版本從 npm 移除之前,它會在安裝期間自動運行。
根據安全公司 OX Security 的說法,被篡改的程式碼可以讓攻擊者遠端存取受感染的設備,允許他們竊取敏感數據,例如登入憑證、API 金鑰和加密錢包資訊。
這起事件顯示,單一受損的開源元件如何可能波及數千個依賴它的應用程式,不僅暴露開發者,還暴露與系統連接的平台和用戶。
安全公司敦促進行金鑰輪換、系統審計
OX Security 警告安裝了 [email protected] 或 [email protected] 的開發者將其系統視為完全受損,並立即輪換憑證,包括 API 金鑰和會話令牌。
Socket 表示,受損的 Axios 發布版本被修改為包含對 [email protected] 的依賴,這是一個在事件發生前不久發布的套件,後來被確認為惡意套件。
相關:Trust Wallet 瀏覽器擴充功能因 Chrome Store「錯誤」而離線,執行長表示
該公司表示,該依賴項被配置為透過安裝後腳本在安裝期間自動運行,允許攻擊者在目標系統上執行程式碼,無需額外的用戶互動。
Socket 建議開發者檢查其專案和依賴檔案中受影響的 Axios 版本以及相關的 [email protected] 套件,並立即移除或回滾任何受損的版本。
Hacken 高級攻擊性安全工程師 Abdelfattah Ibrahim 告訴 Cointelegraph,這次入侵可能對依賴 Axios 進行後端操作的加密相關應用程式產生嚴重影響。
「這對處理加密貨幣的去中心化應用程式和應用程式來說是個壞消息,因為 Axios 在 API 調用中扮演著重要角色,」他說,並指出受影響的系統可能包括交易所整合、錢包餘額檢查和交易廣播。
Ibrahim 表示,攻擊中部署的惡意軟體充當完整的遠端存取木馬,允許攻擊者直接與受損系統互動。他補充說,這起事件突顯了供應鏈風險處理方式中更廣泛的弱點。
早期加密事件突顯供應鏈風險
早期的加密事件顯示,供應鏈漏洞如何從竊取開發者資訊升級到面向用戶的錢包損失。
1 月 3 日,鏈上調查員 ZachXBT 報告稱,在一次廣泛攻擊中,以太坊虛擬機相容網路上的「數百個」錢包被清空,該攻擊從每個受害者那裡抽走少量資金。
網路安全研究員 Vladimir S. 表示,該事件可能與 12 月影響 Trust Wallet 的漏洞有關,該漏洞導致超過 2,500 個錢包損失約 700 萬美元。
Trust Wallet 後來表示,該漏洞可能源於涉及其開發工作流程中使用的 npm 套件的供應鏈入侵。
雜誌:沒人知道量子安全加密是否真的有效
來源:https://cointelegraph.com/news/axios-npm-supply-chain-attack-malicious-dependency?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
