axios bị tấn công qua chuỗi cung ứng: hai phiên bản mới giới thiệu các phụ thuộc độc hại, đề xuất ngay lập tức quay lại phiên bản cũ

Theo giám sát của 1M AI News, nhóm nghiên cứu của công ty an ninh chuỗi cung ứng Socket hôm nay đã tiết lộ rằng thư viện yêu cầu HTTP bằng JavaScript axios, được sử dụng rộng rãi, đã bị tấn công chuỗi cung ứng. Hai phiên bản mới được phát hành (v1.14.1 và v0.30.4) đều chứa các phụ thuộc độc hại, và hai phiên bản này không xuất hiện trong lịch sử GitHub Release chính thức của axios, cho thấy sự sai lệch so với quy trình phát hành thông thường của dự án.

Cả hai phiên bản đều đưa vào gói độc hại plain-crypto-js@4.2.1. Gói độc hại này được phát hành lúc 23:59:12 UTC ngày 30 tháng 3, và bộ phát hiện tự động của Socket đã đánh dấu nó sau khoảng 6 phút. Socket cho biết, khoảng thời gian này trùng khớp rất cao với thời điểm phát hành phiên bản mới của axios, cho thấy các phụ thuộc độc hại được phối hợp để tung ra cùng lúc với việc phát hành axios. Tài khoản npm liên quan đến gói độc hại là jasonsaayman; Socket nói rằng điều này làm dấy lên lo ngại về việc “phát hành trái phép hoặc tài khoản bị xâm nhập”.

Socket khuyến nghị các nhà phát triển ngay lập tức kiểm tra xem các phụ thuộc của dự án và lockfile có chứa axios@1.14.1, axios@0.30.4 hoặc plain-crypto-js@4.2.1 hay không; nếu phát hiện thì hãy hoàn tác (rollback) ngay về các phiên bản an toàn đã biết. Sự việc vẫn đang tiếp tục được điều tra.