News (CY)

Mae ymosodiad Axios ar NPM yn chwistrellu RAT ac yn peryglu miloedd o ddatblygwyr

Por Redação Mix Vale 31 de março de 2026 5 min de leitura
WhatsApp Twitter Facebook Seguir no Google E-mail
Axios
Foto: Axios - reprodução x

Cofnododd y llyfrgell boblogaidd Axios, a ddefnyddir mewn nifer o brosiectau JavaScript i gyflawni ceisiadau HTTP, ymosodiad cadwyn gyflenwi a gyfaddawdodd ddwy fersiwn benodol a gyhoeddwyd yn y gofrestrfa NPM. Nododd Investigadores o StepSecurity fersiynau 1.14.1 a 0.30.4 fel rhai maleisus, a gyhoeddwyd yn oriau mân Mawrth 31, 2026. Roedd y pecynnau’n chwistrellu dibyniaeth ffug sy’n rhedeg sgript gosod sy’n gallu gosod trojan mynediad o bell ar beiriannau datblygwr.

Datgelodd y digwyddiad yr ecosystem ddatblygu helaeth sy’n dibynnu ar y llyfrgell, un o’r rhai sydd wedi’i lawrlwytho fwyaf ar y platfform gyda mwy na 100 miliwn o lawrlwythiadau wythnosol. Ni newidiodd yr ymosodwyr y cod craidd o Axios, ond ychwanegodd dibyniaeth gudd o’r enw plain-crypto-js@4.2.1. Dibyniaeth Essa wedi’i actifadu’n awtomatig wrth redeg gosod npm, gosod llwythi tâl penodol ar gyfer Windows, macOS a Linux.

Sut cafodd y cyfrif cynhaliaeth ei beryglu

Cafodd y rhai a oedd yn gyfrifol am yr ymosodiad fynediad i gyfrif NPM prif gynhaliwr y prosiect, a nodwyd fel jasonsaayman. Newidiodd Eles y cyfeiriad e-bost cysylltiedig iifstap@proton.mea chyhoeddodd y fersiynau dan fygythiad â llaw, gan osgoi llifau integreiddio parhaus awtomataidd yr ystorfa ar GitHub. Rhyddhawyd y fersiwn maleisus gyntaf, axios@1.14.1, tua 00:21 UTC, ac yna axios@0.30.4 tua 39 munud yn ddiweddarach.

Roedd y dull hwn yn caniatáu i becynnau fod ar gael heb sbarduno gwiriadau llofnod na phrosesau CI/CD arferol. Ymatebodd cynhalwyr Axios yn gyflym ar ôl eu darganfod, a dynnodd NPM y ddwy fersiwn o fewn oriau, gan gyfyngu’r amser amlygiad i tua dwy i dair awr.

Manylion technegol y malware wedi’i chwistrellu

Ni fewnforiwyd y ddibyniaeth ffug plain-crypto-js@4.2.1 ar unrhyw adeg yn y cod Axios gwreiddiol, gan wasanaethu’n gyfan gwbl i weithredu sgript postinstall. Roedd y sgript yn gweithredu fel dropper trojan mynediad o bell, gan sefydlu cyswllt â gweinydd gorchymyn a rheoli i lawrlwytho llwythi tâl ychwanegol wedi’u teilwra i bob system weithredu.

Defnyddiwyd technegau rhwystro i’w gwneud yn anodd dadansoddi ar unwaith, gyda gorchmynion wedi’u datgodio ar amser rhedeg. Gosodiad llwyddiannus Após, tynnodd y malware ei olion ei hun, gan ddisodli’r ffeil package.json gyda fersiwn lân i osgoi canfod mewn arolygiadau diweddarach o’r ffolder node_modules.

  • Gwirio am fersiynau yr effeithir arnynt gyda’r rhestr npm gorchymyn axios hidlo 1.14.1 neu 0.30.4
  • Gwirio presenoldeb y ffolder nod_modules/plain-crypto-js fel dangosydd cyfaddawd
  • Chwiliwch am arteffactau fel ffeiliau dros dro yn /tmp/ld.py neu bethau cyfatebol ar systemau eraill

Mesurau lliniaru a argymhellir ar gyfer datblygwyr

Dylai datblygwyr a osododd fersiynau 1.14.1 neu 0.30.4 ystyried yr amgylchedd dan fygythiad a gweithredu ar unwaith. Y prif argymhelliad yw dychwelyd i’r fersiynau diogel blaenorol: axios@1.14.0 yn y gangen ddiweddaraf neu axios@0.30.3 yn y fersiwn etifeddiaeth.

Mae’n hanfodol cael gwared ar y ddibyniaeth ffug, perfformio gosodiad glân gyda’r faner –ignore-scripts, a chylchdroi’r holl gymwysterau sensitif, gan gynnwys tocynnau NPM, allweddi SSH, mynediadau gwasanaeth cwmwl, a newidynnau amgylchedd. Mewn piblinellau integreiddio parhaus, mae mabwysiadu’r paramedr sy’n anwybyddu sgriptiau ôl-osod yn barhaol yn helpu i atal dienyddiadau awtomatig diangen.

Leia Tambem
Mae Oppo yn lansio’r Find X9 Ultra yn swyddogol ledled y byd gyda lensys Hasselblad a batri cadarn

Mae Oppo yn lansio’r Find X9 Ultra yn swyddogol ledled y byd gyda lensys Hasselblad a batri cadarn

Mae Tim Cook yn datgelu prototeipiau iPhone ac iPod newydd i ddathlu hanner canmlwyddiant Apple

Mae Tim Cook yn datgelu prototeipiau iPhone ac iPod newydd i ddathlu hanner canmlwyddiant Apple

Mae system Android yn derbyn integreiddio Gemini Nano 4 brodorol ar gyfer prosesu all-lein ar ffonau smart

Mae system Android yn derbyn integreiddio Gemini Nano 4 brodorol ar gyfer prosesu all-lein ar ffonau smart

Effaith ar yr ecosystem datblygu JavaScript

Mae Axios ymhlith y llyfrgelloedd a ddefnyddir fwyaf yn ecosystem Node.js ac mewn cymwysiadau pen blaen, gan ei fod yn ddibyniaeth uniongyrchol neu anuniongyrchol ar nifer o brosiectau corfforaethol a ffynhonnell agored. Mae’r ymosodiad yn tynnu sylw at fregusrwydd cynhenid ​​cyfrifon cynhalwyr unigol mewn pecynnau hynod boblogaidd, hyd yn oed pan fydd y cod craidd yn dal yn gyfan.

Mae arbenigwyr diogelwch yn nodi bod y dull a ddefnyddir yn dangos soffistigedigrwydd gweithredol, gyda pharatoi’r ddibyniaeth ffug ymlaen llaw mewn fersiwn lân cyn chwistrellu’r llwyth tâl maleisus. Roedd strategaeth Essa yn cymhlethu darganfyddiadau awtomatig cychwynnol a mwy o risg yn ystod y cyfnod byr pan oedd y fersiynau ar gael.

Canllawiau ar gyfer gwirio a glanhau amgylcheddau yr effeithir arnynt

Mae angen i dimau datblygu archwilio logiau gosod a hanes pecynnau i nodi a gafodd fersiynau maleisus eu llwytho i lawr. Mae presenoldeb y ffolder plaen-crypto-js yn node_modules yn ddangosydd cryf bod y dropper wedi’i weithredu, waeth beth fo’r dileu ffeil yn ddiweddarach.

Ar ôl glanhau, argymhellir sganio systemau yn llawn gydag offer canfod bygythiad a monitro cysylltiadau rhwydwaith i gyfeiriadau sy’n gysylltiedig â’r gweinydd rheoli. Mae diweddaru polisïau diogelwch ar unwaith mewn storfeydd preifat hefyd yn helpu i leihau risgiau tebyg mewn pecynnau eraill.

Atal ymosodiadau ar logiau pecynnau yn y dyfodol

Mae’r digwyddiad yn atgyfnerthu pwysigrwydd mesurau megis dilysu aml-ffactor llym ar gyhoeddi cyfrifon, monitro newidiadau i fetadata pecyn yn barhaus, a mabwysiadu gwiriadau cywirdeb mwy cadarn. Gall systemau ffynhonnell agored Projetos sydd wedi’u mabwysiadu’n helaeth ystyried prosesau adolygu ychwanegol cyn datganiadau newydd.

Dylai datblygwyr a chwmnïau unigol roi blaenoriaeth i binio fersiynau diogel hysbys mewn ffeiliau cyfluniad prosiect, gan osgoi gosod diweddariadau yn awtomatig heb ddilysu ymlaen llaw. Mae arferion Essas yn helpu i gyfyngu ar yr wyneb ymosodiad mewn cadwyni cyflenwi meddalwedd.

Mae’r gymuned ddiogelwch yn parhau i fonitro’r achos i fapio dioddefwyr posibl a mireinio offer canfod. Até Ar hyn o bryd, nid oes unrhyw adroddiadau cyhoeddus o ecsbloetio ar raddfa fawr, ond yr argymhelliad unfrydol yw trin unrhyw osodiad o’r fersiynau yr effeithir arnynt fel cyfaddawd llwyr o’r system dan sylw.