axios wurde durch eine Supply-Chain-Attacke kompromittiert: Zwei neue Versionen enthalten bösartige Abhängigkeiten, sofortiges Zurücksetzen wird empfohlen

Laut den von 1M AI News durchgeführten Monitoring-Daten hat das Forschungsteam von Socket, einem Unternehmen für Lieferketten-Sicherheit, heute offengelegt, dass die weit verbreitete JavaScript-HTTP-Anfragebibliothek axios von einem Supply-Chain-Angriff betroffen war. Beide neu veröffentlichten Versionen (v1.14.1 und v0.30.4) enthalten bösartige Abhängigkeiten, und diese beiden Versionen tauchen nicht in der offiziellen GitHub-Release-Historie von axios auf, was von den normalen Veröffentlichungsabläufen des Projekts abweicht.

Beide Versionen führen das bösartige Paket plain-crypto-js@4.2.1 ein. Das bösartige Paket wurde am 30. März um 23:59:12 UTC veröffentlicht, und die automatisierte Erkennung von Socket markierte es etwa 6 Minuten später. Socket weist darauf hin, dass dieser Zeitpunkt stark mit der Veröffentlichung der neuen axios-Versionen zusammenfällt, was darauf hindeutet, dass die bösartigen Abhängigkeiten in Abstimmung mit der axios-Veröffentlichung koordiniert eingespielt wurden. Das zu dem bösartigen Paket gehörende npm-Konto lautet jasonsaayman. Socket sagt, dies habe die Sorge ausgelöst, dass es zu einer „nicht autorisierten Veröffentlichung oder einem Account-Hack“ gekommen sein könnte.

Socket empfiehlt Entwicklern, sofort ihre Projektabhängigkeiten und das lockfile daraufhin zu prüfen, ob axios@1.14.1, axios@0.30.4 oder plain-crypto-js@4.2.1 enthalten sind; falls sie gefunden werden, sollte umgehend auf bekannte sichere Versionen zurückgerollt werden. Der Vorfall wird weiterhin untersucht.