摘要:热门JavaScript库Axios被曝存在实时供应链攻击风险,最新版本自动加载可疑套件,波及超亿级开发者环境,安全专家呼吁立即锁定版本并加强依赖管理。
Axios核心套件遭恶意注入,全球开发环境面临连锁威胁
一款累计下载量突破数亿次的主流JavaScript库疑似沦为恶意代码传播通道,引发全球软件开发圈高度警觉。
新发布依赖项异常活跃,触发实时攻击链路
安全研究机构Socket Security披露,npm生态中的关键组件Axios在最新版本中引入了未经验证的外部依赖。该依赖项为当日创建的全新项目,其发布流程缺乏常规审核机制,已被确认为受控入侵目标。
隐蔽型投放器部署,实现跨平台潜伏渗透
经分析,该恶意模块采用高度混淆的“初始载荷”形式,作为攻击入口用于远程下载后续执行程序。其运行后会清除原始文件痕迹,并将恶意代码复制至系统临时目录与Windows ProgramData路径,以规避检测。进一步解码显示,其可执行自定义指令,实现持久化控制。
全栈防护建议紧急出台,开发者须即刻响应
针对此次事件,安全团队敦促所有使用Axios的项目立即暂停升级至最新版,回滚至已知安全版本,并对package-lock.json等锁文件进行全面扫描。同时强调,必须建立对第三方依赖的动态监控与准入审查机制,防止类似漏洞在生产环境中扩散。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。