Согласно Фероссу Абукхадиджеху (Feross Aboukhadijeh), сооснователю компании Socket Security, ориентированной на безопасность, на Axios есть активная компрометация цепочки поставок — это один из самых востребованных пакетов npm.
NPM расшифровывается как Node Package Manager и по сути является крупнейшим в мире реестром программного обеспечения, размещающим более двух миллионов пакетов открытого исходного кода для JavaScript. Можно утверждать, что это фундамент современного Web3-разработки.
По словам Феросса, последняя версия axios@1.14.1 в настоящее время подтягивает plain-crypto-just@4.2.1 — пакет, которого не существовало до сегодняшнего дня, что указывает на активный компрометирующий инцидент.
Это типичное вредоносное ПО для установки через цепочку поставок. Axios имеет 100M+ еженедельных загрузок. Любая команда npm install, подтягивающая последнюю версию, прямо сейчас может быть скомпрометирована. Socket AI analyiss подтверждает, что это вредоносное ПО. Plain-crypto-js — обфусцированный дроппер/загрузчик.”
Вредоносное ПО может выполнять ряд действий, включая удаление и переименование артефактов после выполнения, чтобы уничтожить доказательства для форензики, подготовку и копирование файлов полезной нагрузки в временные каталоги ОС и директории Windows ProgramData, выполнение декодированных команд shell и многое другое.
🚨 КРИТИЧНО: Активная атака через цепочку поставок на axios — один из самых востребованных пакетов npm.
Последняя версия axios@1.14.1 теперь подтягивает plain-crypto-js@4.2.1 — пакет, которого не существовало до сегодняшнего дня. Это живой компрометирующий инцидент.
Это типичное вредоносное ПО для установщика через цепочку поставок. axios…
— Feross (@feross) 31 марта 2026 г.
Эксперт рекомендует разработчикам, которые используют axios, немедленно закрепить (pin) свои версии и провести аудит их lockfile, при этом пока воздержаться от любых обновлений.
СПЕЦИАЛЬНОЕ ПРЕДЛОЖЕНИЕ (Только для вас)
Binance Free $600 (CryptoPotato Exclusive): Используйте эту ссылку, чтобы зарегистрировать новый аккаунт и получить эксклюзивное приветственное предложение на $600 на Binance (полные подробности).
ОГРАНИЧЕННОЕ ПРЕДЛОЖЕНИЕ для читателей CryptoPotato в Bybit: Используйте эту ссылку, чтобы зарегистрироваться и открыть БЕСПЛАТНУЮ позицию на $500 по любой монете!
Теги:
Взломы
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
