供应链安全公司Socket披露,广泛使用的JavaScript HTTP请求库axios遭遇供应链攻击。
事件概述
- 两个新发布的版本(v1.14.1 和 v0.30.4)被发现包含恶意依赖。
- 这两个版本未出现在axios官方的GitHub Release历史中,偏离了正常发布流程。
恶意依赖详情
- 两个版本均引入了恶意包
plain-crypto-js@4.2.1。 - 该恶意包于3月30日发布,其发布时间与axios新版本发布高度吻合,表明攻击是经过协调的。
- 恶意包关联的npm账号为
jasonsaayman,引发了账号可能被入侵或存在未经授权发布的担忧。
行动建议
立即检查项目依赖和lockfile,确认是否包含:
axios@1.14.1axios@0.30.4plain-crypto-js@4.2.1
若发现上述任何依赖,请立即回滚至已知的安全版本。事件仍在调查中。
