បណ្ណាល័យ Axios ដ៏ពេញនិយមដែលប្រើក្នុងគម្រោង JavaScript ជាច្រើនដើម្បីអនុវត្តសំណើ HTTP បានកត់ត្រាការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ដែលបានសម្របសម្រួលកំណែជាក់លាក់ពីរដែលបានបោះពុម្ពផ្សាយនៅក្នុងបញ្ជីឈ្មោះ NPM ។ Investigadores ពី StepSecurity បានកំណត់កំណែ 1.14.1 និង 0.30.4 ថាជាព្យាបាទ ដែលបានបោះពុម្ពផ្សាយនៅព្រឹកព្រលឹមនៃថ្ងៃទី 31 ខែមីនា ឆ្នាំ 2026។ កញ្ចប់បានចាក់បញ្ចូលភាពអាស្រ័យក្លែងក្លាយដែលដំណើរការស្គ្រីបដំឡើងដែលមានសមត្ថភាពដំឡើង Trojan ពីចម្ងាយនៅលើម៉ាស៊ីនអ្នកអភិវឌ្ឍន៍។
ឧបទ្ទវហេតុនេះបានលាតត្រដាងប្រព័ន្ធអេកូឡូស៊ីអភិវឌ្ឍន៍ដ៏ធំដែលពឹងផ្អែកលើបណ្ណាល័យ ដែលជាកន្លែងមួយដែលត្រូវបានទាញយកច្រើនបំផុតនៅលើវេទិកាជាមួយនឹងការទាញយកច្រើនជាង 100 លានក្នុងមួយសប្តាហ៍។ អ្នកវាយប្រហារមិនបានផ្លាស់ប្តូរកូដស្នូលរបស់ Axios ទេ ប៉ុន្តែបានបន្ថែមភាពអាស្រ័យលាក់កំបាំងហៅថា[email protected]។ ភាពអាស្រ័យ Essa ត្រូវបានធ្វើឱ្យសកម្មដោយស្វ័យប្រវត្តិនៅពេលដំណើរការដំឡើង npm ដំឡើងបន្ទុកជាក់លាក់សម្រាប់ Windows, macOS និង Linux ។
របៀបដែលគណនីថែទាំត្រូវបានសម្របសម្រួល
អ្នកដែលទទួលខុសត្រូវចំពោះការវាយប្រហារនេះ ទទួលបានសិទ្ធិចូលទៅកាន់គណនី NPM របស់អ្នកថែទាំសំខាន់របស់គម្រោង ដែលត្រូវបានកំណត់ថាជា jasonsaayman ។ Eles បានផ្លាស់ប្តូរអាសយដ្ឋានអ៊ីមែលដែលពាក់ព័ន្ធទៅ[email protected]ហើយបានបោះពុម្ពផ្សាយកំណែដែលត្រូវបានសម្របសម្រួលដោយដៃ ដោយឆ្លងកាត់លំហូរនៃការរួមបញ្ចូលជាបន្តបន្ទាប់ដោយស្វ័យប្រវត្តិរបស់ឃ្លាំងនៅលើ GitHub ។ កំណែព្យាបាទដំបូងគឺ [email protected] ត្រូវបានចេញផ្សាយនៅជុំវិញ 00:21 UTC បន្ទាប់មកដោយ [email protected] ប្រហែល 39 នាទីក្រោយមក។
វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យកញ្ចប់អាចប្រើប្រាស់បានដោយមិនបង្កឱ្យមានការត្រួតពិនិត្យហត្ថលេខា ឬដំណើរការ CI/CD ធម្មតា។ អ្នកថែទាំ Axios មានប្រតិកម្មយ៉ាងឆាប់រហ័សនៅពេលរកឃើញ ហើយ NPM បានដកចេញកំណែទាំងពីរក្នុងរយៈពេលប៉ុន្មានម៉ោង ដោយកំណត់ពេលវេលានៃការប៉ះពាល់ត្រឹមប្រហែល 2 ទៅ 3 ម៉ោង។
⚡ ការព្រមាន – Axios npm (83M ការទាញយកប្រចាំសប្តាហ៍) ត្រូវបានសម្របសម្រួល ដោយបង្វែរការដំឡើងទៅជាផ្លូវចែកចាយមេរោគ។
—The Hacker News (@TheHackerNews)ថ្ងៃទី ៣១ ខែមីនា ឆ្នាំ ២០២៦
កំណែ 1.14.1 និង 0.30.4 បានទាញភាពអាស្រ័យក្លែងក្លាយដែលបានទម្លាក់ RAT ឆ្លងវេទិកា បន្ទាប់មកលុបភស្តុតាង។ Published ដោយប្រើអត្តសញ្ញាណអ្នកថែរក្សាដែលត្រូវបានលួច។
🔗What…pic.twitter.com/rBTiPGZmbr
ព័ត៌មានលម្អិតបច្ចេកទេសនៃមេរោគដែលបានបញ្ចូល
ភាពអាស្រ័យមិនពិត [email protected] មិនត្រូវបាននាំចូលនៅចំណុចណាមួយនៅក្នុងកូដ Axios ដើម ដោយបម្រើទាំងស្រុងដើម្បីប្រតិបត្តិស្គ្រីបក្រោយការដំឡើង។ ស្គ្រីបបានដើរតួជាឧបករណ៍ទម្លាក់មេរោគ Trojan ពីចម្ងាយ បង្កើតទំនាក់ទំនងជាមួយ command និង control server ដើម្បីទាញយក payloads បន្ថែមដែលតម្រូវតាមប្រព័ន្ធប្រតិបត្តិការនីមួយៗ។
បច្ចេកទេស Obfuscation ត្រូវបានប្រើដើម្បីធ្វើឱ្យមានការលំបាកក្នុងការវិភាគភ្លាមៗ ដោយមានការឌិកូដពាក្យបញ្ជានៅពេលដំណើរការ។ ការដំឡើងដោយជោគជ័យ Após មេរោគបានដកដានរបស់វាចេញ ដោយជំនួសឯកសារ package.json ជាមួយនឹងកំណែស្អាត ដើម្បីជៀសវាងការរកឃើញនៅក្នុងការត្រួតពិនិត្យនៅពេលក្រោយនៃថត node_modules។
- កំពុងពិនិត្យមើលកំណែដែលរងផលប៉ះពាល់ជាមួយនឹងបញ្ជី npm axios command filtering 1.14.1 ឬ 0.30.4
- ការពិនិត្យមើលវត្តមានរបស់ node_modules/plain-crypto-js folder ជាសូចនាករនៃការសម្របសម្រួល
- ស្វែងរកវត្ថុបុរាណដូចជាឯកសារបណ្តោះអាសន្ននៅក្នុង /tmp/ld.py ឬសមមូលនៅលើប្រព័ន្ធផ្សេងទៀត
វិធានការកាត់បន្ថយដែលបានណែនាំសម្រាប់អ្នកអភិវឌ្ឍន៍
អ្នកអភិវឌ្ឍន៍ដែលបានដំឡើងកំណែ 1.14.1 ឬ 0.30.4 គួរតែពិចារណាថាបរិស្ថានត្រូវបានសម្របសម្រួល និងចាត់វិធានការជាបន្ទាន់។ អនុសាសន៍ចម្បងគឺត្រូវត្រលប់ទៅកំណែសុវត្ថិភាពពីមុនវិញ៖ [email protected] នៅក្នុងសាខាចុងក្រោយបំផុត ឬ [email protected] នៅក្នុងកំណែចាស់។
វាចាំបាច់ណាស់ក្នុងការដកចេញនូវភាពអាស្រ័យក្លែងក្លាយ អនុវត្តការដំឡើងស្អាតជាមួយទង់ –ignore-scripts និងបង្វិលព័ត៌មានសម្ងាត់ដែលរសើបទាំងអស់ រួមទាំង NPM tokens, SSH keys, cloud accesses, and environment variables។ នៅក្នុងបំពង់រួមបញ្ចូលគ្នាជាបន្តបន្ទាប់ ការទទួលយកប៉ារ៉ាម៉ែត្រជាអចិន្ត្រៃយ៍ដែលមិនអើពើស្គ្រីបក្រោយការដំឡើងជួយការពារការប្រតិបត្តិដោយស្វ័យប្រវត្តិដែលមិនចង់បាន។
ផលប៉ះពាល់លើប្រព័ន្ធអេកូអភិវឌ្ឍន៍ JavaScript
Axios ស្ថិតក្នុងចំណោមបណ្ណាល័យដែលប្រើច្រើនបំផុតនៅក្នុងប្រព័ន្ធអេកូ Node.js និងនៅក្នុងកម្មវិធីខាងមុខ ដែលជាការពឹងផ្អែកដោយផ្ទាល់ ឬដោយប្រយោលនៃគម្រោងសាជីវកម្ម និងប្រភពបើកចំហជាច្រើន។ ការវាយប្រហារបង្ហាញពីភាពងាយរងគ្រោះពីកំណើតនៃគណនីអ្នកថែទាំបុគ្គលនៅក្នុងកញ្ចប់ដែលពេញនិយមខ្លាំង ទោះបីជាកូដស្នូលនៅដដែលក៏ដោយ។
អ្នកជំនាញផ្នែកសុវត្ថិភាពកត់សំគាល់ថាវិធីសាស្ត្រដែលបានប្រើបង្ហាញពីភាពទំនើបនៃប្រតិបត្តិការ ដោយមានការរៀបចំជាមុននូវភាពអាស្រ័យមិនពិតនៅក្នុងកំណែស្អាត មុនពេលចាក់បញ្ចូលបន្ទុកព្យាបាទ។ យុទ្ធសាស្ត្រ Essa ធ្វើឱ្យស្មុគស្មាញដល់ការរកឃើញដោយស្វ័យប្រវត្តិដំបូង និងហានិភ័យកើនឡើងក្នុងអំឡុងពេលខ្លីដែលកំណែទាំងនោះមាន។
គោលការណ៍ណែនាំសម្រាប់ការត្រួតពិនិត្យ និងសម្អាតបរិស្ថានដែលរងផលប៉ះពាល់
ក្រុមអភិវឌ្ឍន៍ត្រូវការធ្វើសវនកម្មកំណត់ហេតុដំឡើង និងប្រវត្តិកញ្ចប់ ដើម្បីកំណត់ថាតើកំណែព្យាបាទត្រូវបានទាញយក។ វត្តមាននៃថតធម្មតា-crypto-js នៅក្នុង node_modules ដើរតួជាសូចនាករដ៏រឹងមាំដែលថា dropper ត្រូវបានប្រតិបត្តិ ដោយមិនគិតពីការដកឯកសារចេញនៅពេលក្រោយ។
បន្ទាប់ពីសម្អាត វាត្រូវបានផ្ដល់អនុសាសន៍ឱ្យស្កេនប្រព័ន្ធពេញលេញជាមួយនឹងឧបករណ៍រកឃើញការគំរាមកំហែង និងត្រួតពិនិត្យការភ្ជាប់បណ្តាញទៅកាន់អាសយដ្ឋានដែលភ្ជាប់ជាមួយម៉ាស៊ីនមេគ្រប់គ្រង។ ការធ្វើបច្ចុប្បន្នភាពគោលនយោបាយសុវត្ថិភាពភ្លាមៗនៅក្នុងឃ្លាំងឯកជនក៏ជួយកាត់បន្ថយហានិភ័យស្រដៀងគ្នានៅក្នុងកញ្ចប់ផ្សេងទៀត។
ការពារការវាយប្រហារនាពេលអនាគតលើកំណត់ហេតុកញ្ចប់ព័ត៌មាន
ឧប្បត្តិហេតុនេះពង្រឹងសារៈសំខាន់នៃវិធានការដូចជាការផ្ទៀងផ្ទាត់ពហុកត្តាយ៉ាងតឹងរ៉ឹងលើគណនីបោះផ្សាយ ការត្រួតពិនិត្យជាបន្តបន្ទាប់នៃការផ្លាស់ប្តូរចំពោះទិន្នន័យមេតាកញ្ចប់ និងការទទួលយកការត្រួតពិនិត្យភាពត្រឹមត្រូវកាន់តែរឹងមាំ។ ប្រព័ន្ធប្រភពបើកចំហ Projetos ជាមួយនឹងការអនុម័តខ្ពស់អាចពិចារណាដំណើរការពិនិត្យបន្ថែមមុនពេលចេញផ្សាយថ្មី។
អ្នកអភិវឌ្ឍន៍ និងក្រុមហ៊ុននីមួយៗគួរតែកំណត់អាទិភាពក្នុងការខ្ទាស់កំណែសុវត្ថិភាពដែលគេស្គាល់នៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធគម្រោង ជៀសវាងការដំឡើងបច្ចុប្បន្នភាពដោយស្វ័យប្រវត្តិដោយមិនមានសុពលភាពជាមុន។ ការអនុវត្ត Essas ជួយកំណត់ផ្ទៃវាយប្រហារនៅក្នុងខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធី។
សហគមន៍សន្តិសុខបន្តតាមដានករណីនេះ ដើម្បីគូសផែនទីជនរងគ្រោះដែលអាចកើតមាន និងកែលម្អឧបករណ៍រាវរក។ Até នៅពេលនេះ មិនមានរបាយការណ៍ជាសាធារណៈអំពីការកេងប្រវ័ញ្ចទ្រង់ទ្រាយធំនោះទេ ប៉ុន្តែការណែនាំជាឯកច្ឆ័ន្ទគឺត្រូវចាត់ទុកការដំឡើងកំណែដែលរងផលប៉ះពាល់ណាមួយជាការសម្របសម្រួលសរុបនៃប្រព័ន្ធពាក់ព័ន្ធ។
