摘要:热门JavaScript库Axios被曝存在供应链攻击迹象,最新版本自动加载可疑依赖包,可能影响超亿级用户环境,安全专家呼吁立即锁定版本并排查风险。
Axios核心套件现隐蔽供应链入侵,全球开发环境面临潜在威胁
一款广泛使用的开源JavaScript库在近期被发现存在异常行为,其最新版本被确认为恶意代码传播的载体,引发全球开发者社区高度警觉。
新发布依赖项异常,疑似遭未授权篡改
分析显示,最新版[email protected]在安装过程中会自动引入一个名为[email protected]的第三方模块。该模块为当日创建,其发布流程缺乏正常维护痕迹,已被判定为存在明显入侵特征。
恶意载荷采用混淆形态,具备隐蔽执行能力
经安全机构检测,该恶意组件以高度混淆的“投递器”形式存在,主要功能是远程下载并运行后续攻击脚本。其执行后将清除或重命名原始文件以规避追踪,并将关键组件复制至系统临时目录与Windows ProgramData路径。
防御建议紧急出台,需立即冻结版本更新
针对当前态势,行业专家建议所有使用Axios的项目团队暂停对最新版本的升级操作,回退至已验证安全的稳定版本,并对项目的依赖锁文件进行深度扫描与合规性审查。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。