Actualizare 31 martie 2026, 1:28 pm UTC: Acest articol a fost actualizat pentru a adăuga comentariile lui Abdelfattah Ibrahim, inginer senior de securitate ofensivă la Hacken.
Două lansări malițioase Axios npm au generat avertismente pentru dezvoltatori să rotească credențialele și să trateze sistemele afectate ca fiind compromise după ce un atac asupra lanțului de aprovizionare a otrăvit biblioteca populară de client HTTP JavaScript.
Compromiterea a fost raportată prima dată de compania de securitate cibernetică Socket, care a spus că [email protected] și [email protected] au fost modificate pentru a include [email protected], o dependență malițioasă care s-a executat automat în timpul instalării înainte ca lansările să fie eliminate de pe npm.
Conform companiei de securitate OX Security, codul modificat poate oferi atacatorilor acces de la distanță la dispozitivele infectate, permițându-le să fure date sensibile precum credențiale de autentificare, chei API și informații despre portofele cripto.
Incidentul arată cum o singură componentă open-source compromisă poate avea potențial efecte în cascadă asupra miilor de aplicații care se bazează pe ea, expunând nu doar dezvoltatorii, ci și platformele și utilizatorii conectați la sistem.
Companiile de securitate recomandă rotația cheilor, audituri ale sistemelor
OX Security a avertizat dezvoltatorii care au instalat [email protected] sau [email protected] să își trateze sistemele ca fiind complet compromise și să rotească imediat credențialele, inclusiv cheile API și token-urile de sesiune.
Socket a spus că lansările Axios compromise au fost modificate pentru a include o dependență de [email protected], un pachet publicat cu puțin timp înainte de incident și identificat ulterior ca fiind malițios.
Conexe: Extensia de browser Trust Wallet scoasă offline de un 'bug' al Chrome Store, spune CEO-ul
Compania a spus că dependența a fost configurată să ruleze automat în timpul instalării printr-un script post-instalare, permițând atacatorilor să execute cod pe sistemele țintă fără interacțiune suplimentară din partea utilizatorului.
Socket a recomandat dezvoltatorilor să își revizuiască proiectele și fișierele de dependențe pentru versiunile Axios afectate și pachetul asociat [email protected], și să elimine sau să revină imediat la versiunile compromise.
Abdelfattah Ibrahim, inginer senior de securitate ofensivă la Hacken, a declarat pentru Cointelegraph că compromiterea ar putea avea implicații grave pentru aplicațiile legate de cripto care se bazează pe Axios pentru operațiuni backend.
"Sunt vești proaste pentru dapp-uri și aplicații care se ocupă cu criptomonede, deoarece Axios joacă un rol enorm în apelurile API," a spus el, observând că sistemele afectate ar putea include integrări de schimb, verificări ale soldului portofelului și difuzări de tranzacții.
Ibrahim a spus că malware-ul implementat în atac funcționează ca un troian complet de acces de la distanță, permițând atacatorilor să interacționeze direct cu sistemele compromise. El a adăugat că incidentul evidențiază o slăbiciune mai largă în modul în care sunt gestionate riscurile lanțului de aprovizionare.
Incidente cripto anterioare evidențiază riscurile lanțului de aprovizionare
Incidente cripto anterioare au arătat cum breșele în lanțul de aprovizionare pot escalada de la informații furate ale dezvoltatorilor la pierderi ale portofelelor utilizatorilor.
Pe 3 ianuarie, investigatorul onchain ZachXBT a raportat că "sute" de portofele pe rețelele compatibile Ethereum Virtual Machine au fost golite într-un atac amplu care a sifona sume mici de la fiecare victimă.
Cercetătorul de securitate cibernetică Vladimir S. a spus că incidentul a fost potențial legat de o breșă din decembrie care a afectat Trust Wallet, care a dus la pierderi de aproximativ 7 milioane de dolari pe peste 2.500 de portofele.
Trust Wallet a declarat ulterior că breșa ar fi putut proveni dintr-o compromitere a lanțului de aprovizionare care implică pachete npm utilizate în fluxul său de lucru de dezvoltare.
Revistă: Nimeni nu știe dacă criptografia securizată cuantic va funcționa măcar
Sursă: https://cointelegraph.com/news/axios-npm-supply-chain-attack-malicious-dependency?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
