По словам Феросса Абухадиджеха, соучредителя специализирующейся на безопасности компании Socket Security, на платформе Axios, одном из наиболее зависимых пакетов npm, существует активная цепочка поставок для установки вредоносного ПО.
NPM расшифровывается как Node Package Manager и представляет собой крупнейший в мире реестр программного обеспечения, содержащий более двух миллионов пакетов с открытым исходным кодом JavaScript. Можно утверждать, что это основа современной разработки Web3.
По словам Феросса, последняя версия axios@1.14.1 в настоящее время использует пакет plain-crypto-just@4.2.1, которого до сегодняшнего дня не существовало, что указывает на факт компрометации.
Это классический пример вредоносного ПО для установки через цепочку поставок. Axios загружается более 100 миллионов раз в неделю. Каждая установка npm, использующая последнюю версию, потенциально скомпрометирована прямо сейчас. Анализ Socket AI подтверждает, что это вредоносное ПО. Plain-crypto-js — это обфусцированный дроппер/loadre.
Вредоносное ПО может выполнять ряд действий, включая удаление и переименование артефактов, чтобы скрыть своё присутствие.
Эксперт рекомендует разработчикам, использующим axios, немедленно зафиксировать свои версии и провести аудит файлов блокировки, воздерживаясь от каких-либо обновлений на данный момент.
Заместитель главного редактора Happy Coin News. Образование: экономист. Второе образование маркетинг. В криптоиндустрии с 2014 года. Неоднократно выступал в качестве эксперта на РБК. Биткоин — это не спекуляции, а свобода. Но, свобода требует личной ответственности.
