HTTP хүсэлтийг гүйцэтгэхийн тулд олон тооны JavaScript төслүүдэд ашиглагддаг алдартай Axios номын сан нь NPM бүртгэлд нийтлэгдсэн хоёр тодорхой хувилбарыг эвдсэн нийлүүлэлтийн сүлжээний халдлагыг бүртгэсэн. StepSecurity-ийн Investigadores 1.14.1 ба 0.30.4 хувилбаруудыг 2026 оны 3-р сарын 31-ний үүрээр нийтэлсэн нь хортой гэж тодорхойлсон. Багцууд нь хөгжүүлэгчийн машинууд дээр алсаас хандах троян суулгах чадвартай суулгацын скрипт ажиллуулдаг хуурамч хамаарлыг суулгасан.
Энэхүү үйл явдал нь номын сангаас хамааралтай хөгжлийн асар том экосистемийг илчилсэн бөгөөд энэ нь платформ дээр хамгийн их татагдсан долоо хоногт 100 сая гаруй татан авалттай системүүдийн нэг юм. Халдагчид Axios-ийн үндсэн кодыг өөрчлөөгүй боловч [email protected] хэмээх далд хамаарлыг нэмсэн. Essa хамаарал нь Windows, macOS болон Linux-д зориулсан тусгай ачааллыг суулгаж, npm суулгацыг ажиллуулах үед автоматаар идэвхждэг.
Засвар үйлчилгээний данс хэрхэн эвдэрсэн
Халдлагын хариуцлагыг хүлээсэн хүмүүс Jasonsaayman гэх төслийн үндсэн засварлагчийн NPM данс руу нэвтэрсэн байна. Eles холбогдох имэйл хаягийг өөрчилсөн[email protected]мөн GitHub дээрх репозиторын автоматжуулсан тасралтгүй интеграцийн урсгалыг алгасаж, эвдэрсэн хувилбаруудыг гараар нийтэлсэн. Анхны хортой хувилбар болох [email protected] нь UTC-ийн 00:21 орчимд, дараа нь ойролцоогоор 39 минутын дараа [email protected] гарсан.
Энэ арга нь гарын үсгийн шалгалт эсвэл ердийн CI/CD процессыг өдөөхгүйгээр багцуудыг бэлэн болгох боломжийг олгосон. Axios-ийн засварлагчид олж илрүүлэхэд хурдан хариу үйлдэл үзүүлсэн бөгөөд NPM хоёр хувилбарыг хэдхэн цагийн дотор устгаж, өртөх хугацааг 2-3 цаг хүртэл хязгаарлав.
⚡ АНХААРУУЛГА – Axios npm (долоо хоногт 83 сая татан авалт) алдагдаж, суулгацыг хорлонтой програм хүргэх зам болгон хувиргасан.
—The Hacker News (@TheHackersNews)2026 оны гуравдугаар сарын 31
1.14.1 ба 0.30.4 хувилбарууд нь хөндлөн платформ RAT-ыг буулгаж, дараа нь нотлох баримтыг устгасан хуурамч хамаарлыг татсан. Published хулгайлагдсан засварлагчийн итгэмжлэлүүдийг ашиглаж байна.
🔗What…pic.twitter.com/rBTiPGZmbr
Тарьсан хортой програмын техникийн дэлгэрэнгүй мэдээлэл
Хуурамч хамаарлыг [email protected] эх Axios кодын аль ч цэгт оруулж ирээгүй бөгөөд зөвхөн суулгацын дараах скриптийг гүйцэтгэхэд зориулагдсан. Скрипт нь алсын зайнаас нэвтрэх троян дусаагчийн үүрэг гүйцэтгэж, үйлдлийн систем бүрт тохирсон нэмэлт ачааллыг татаж авах команд болон хяналтын сервертэй холбоо тогтоожээ.
Шууд дүн шинжилгээ хийхэд хэцүү болгохын тулд далдлах арга техникийг ашигласан бөгөөд командуудыг ажиллуулах үед код тайлсан. Após амжилттай суулгаснаар хортой програм нь өөрийн ул мөрийг устгаж, node_modules хавтсыг дараа нь шалгахад илрүүлэхээс зайлсхийхийн тулд package.json файлыг цэвэр хувилбараар сольсон.
- Нөлөөлөлд өртсөн хувилбаруудыг 1.14.1 эсвэл 0.30.4 шүүлтүүрээр npm list axios тушаалаар шалгаж байна.
- Буултын үзүүлэлт болгон node_modules/plain-crypto-js хавтас байгаа эсэхийг шалгаж байна.
- /tmp/ld.py доторх түр файлууд эсвэл бусад систем дээрх түүнтэй адилтгах олдворуудыг хайх
Хөгжүүлэгчдэд үзүүлэх нөлөөллийг бууруулах арга хэмжээг санал болгож байна
1.14.1 эсвэл 0.30.4 хувилбарыг суулгасан хөгжүүлэгчид хүрээлэн буй орчныг эвдэрсэн гэж үзэж, яаралтай арга хэмжээ авах хэрэгтэй. Хамгийн сүүлийн үеийн хувилбарт [email protected] эсвэл хуучин хувилбарт [email protected] гэсэн өмнөх аюулгүй хувилбарууд руу буцах нь гол зөвлөмж юм.
Хуурамч хамаарлыг арилгах, –ignore-scripts туг ашиглан цэвэр суулгац хийх, NPM жетон, SSH түлхүүр, үүлэн үйлчилгээний хандалт, орчны хувьсагч зэрэг бүх эмзэг итгэмжлэлийг эргүүлэх нь чухал юм. Тасралтгүй интеграцийн шугам хоолойд суулгасны дараах скриптийг үл тоомсорлодог параметрийг байнга хэрэглэх нь хүсээгүй автомат гүйцэтгэлээс урьдчилан сэргийлэхэд тусалдаг.
JavaScript хөгжүүлэлтийн экосистемд үзүүлэх нөлөө
Axios нь Node.js экосистем болон урд талын програмуудад хамгийн их ашиглагддаг номын сангуудын нэг бөгөөд олон тооны корпорацийн болон нээлттэй эхийн төслүүдээс шууд болон шууд бус хамааралтай байдаг. Энэхүү халдлага нь үндсэн код нь хэвээр үлдсэн ч гэсэн маш алдартай багцуудын хувь хүний дансны төрөлхийн эмзэг байдлыг онцолж байна.
Аюулгүй байдлын мэргэжилтнүүд ашигласан арга нь хортой ачааг нэвтрүүлэхээс өмнө хуурамч хамаарлыг цэвэр хувилбараар урьдчилан бэлтгэснээр үйл ажиллагааны нарийн төвөгтэй байдлыг харуулж байгааг тэмдэглэж байна. Essa стратеги нь анхны автомат илрүүлэлтийг төвөгтэй болгож, хувилбарууд бэлэн болсон богино хугацаанд эрсдэлийг нэмэгдүүлсэн.
Нөлөөлөлд өртсөн орчныг шалгах, цэвэрлэх заавар
Хөгжүүлэгч багууд хортой хувилбаруудыг татаж авсан эсэхийг тодорхойлохын тулд суулгалтын бүртгэл болон багцын түүхийг шалгах шаардлагатай. Node_modules-д энгийн крипто-js хавтас байгаа нь дараа нь файл устгасан ч хамаагүй дусаагуурыг гүйцэтгэсэн гэсэн хүчтэй үзүүлэлт болдог.
Цэвэрлэсний дараа аюул илрүүлэх хэрэгслээр системийг бүрэн сканнердаж, хяналтын сервертэй холбоотой хаягууд руу сүлжээний холболтыг хянахыг зөвлөж байна. Хувийн нөөцийн аюулгүй байдлын бодлогыг нэн даруй шинэчлэх нь бусад багцын ижил төстэй эрсдлийг бууруулахад тусалдаг.
Пакет логууд дээр ирээдүйн халдлагаас урьдчилан сэргийлэх
Энэхүү үйл явдал нь бүртгэлийг нийтлэхдээ олон хүчин зүйлийн баталгаажуулалтыг чанд мөрдүүлэх, багц мета өгөгдлийн өөрчлөлтийг тасралтгүй хянах, бүрэн бүтэн байдлын илүү найдвартай шалгалтыг хэрэгжүүлэх зэрэг арга хэмжээний ач холбогдлыг нэмэгдүүлж байна. Өндөр хэрэглээтэй Projetos нээлттэй эхийн системүүд шинэ хувилбар гаргахаас өмнө нэмэлт шалгалтын процессуудыг авч үзэж болно.
Хувийн хөгжүүлэгчид болон компаниуд төслийн тохиргооны файлд мэдэгдэж буй аюулгүй хувилбаруудыг хавсаргах, шинэчлэлтүүдийг урьдчилан баталгаажуулахгүйгээр автоматаар суулгахаас зайлсхийх хэрэгтэй. Essas дадлага нь програм хангамжийн хангамжийн сүлжээн дэх халдлагын гадаргууг хязгаарлахад тусалдаг.
Аюулгүй байдлын нийгэмлэг болзошгүй хохирогчдын зураглалыг гаргах, илрүүлэх хэрэгслийг сайжруулахын тулд хэргийг үргэлжлүүлэн хянаж байна. Até Одоогоор томоохон хэмжээний ашиглалтын талаар олон нийтэд мэдээлээгүй байгаа ч нөлөөлөлд өртсөн хувилбаруудын суулгацыг системийн бүрэн эвдрэл гэж үзэхийг санал нэгтэй зөвлөж байна.
