深潮 TechFlow 消息,04 月 02 日,據 VentureBeat 報道,攻擊者竊取了 JavaScript 最流行 HTTP 客戶端庫 Axios 首席維護者的 npm 訪問令牌,並利用該令牌發佈了兩個包含跨平臺遠程訪問木馬(RAT)的惡意版本(axios@1.14.1和 axios@0.30.4),目標覆蓋 macOS、Windows及 Linux 系統。惡意包在 npm 註冊表上存活約 3 小時後被移除。
據安全公司 Wiz 數據,Axios 每週下載量超 1 億次,存在於約 80%的雲和代碼環境中。安全公司 Huntress 在惡意包上線 89 秒後即檢測到首批感染,並在暴露窗口期內確認至少 135 個系統遭到入侵。
值得注意的是,Axios 項目此前已部署了 OIDC 可信發佈機制和 SLSA 溯源證明等現代安全措施,但攻擊者完全繞過了這些防線。調查發現,項目在配置 OIDC 的同時仍保留了傳統長期有效的 NPM_TOKEN,而 npm 在兩者共存時默認優先使用傳統令牌,使得攻擊者無需突破 OIDC 即可完成發佈。
添加收藏
分享社交媒體
