摘要:axios 1.14.1 与 0.30.4 版本被确认植入恶意依赖 plain-crypto-js 4.2.1,可能触发跨平台攻击。不同安装方式影响各异,建议立即排查受影响环境并更换凭证。
axios恶意版本已确认存在,依赖链风险亟待排查
经核实,axios 1.14.1 与 0.30.4 版本被证实为恶意发布版本,其在构建过程中额外注入了 plain-crypto-js 4.2.1 作为隐蔽依赖,并可通过安装后脚本实现跨平台恶意代码部署。
安装路径差异导致影响范围不一
分析表明,采用源码构建方式的项目因锁定文件明确指定 axios 1.13.5 或 1.13.6 版本,未直接引入问题版本,相对安全。
但通过全局命令安装特定版本的环境则存在历史暴露隐患。依赖解析链显示,在恶意版本上线期间,部分包可能被解析为受感染的 1.14.1 版本,构成潜在威胁。
尽管当前重新安装已恢复至 axios 1.14.0 版本,但凡在攻击窗口期内执行过相关安装操作的系统,仍应视为高危环境,需开展全面安全审查。
高危痕迹识别与应急处置建议
若检测到系统中存在 plain-crypto-js 目录,即便配置文件已被清除,也应视为恶意行为的显著残留迹象。建议所有曾执行过相关安装操作的主机,立即更新认证凭据,并启动主机取证流程,重点排查入侵指标与异常行为。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。