Експерт попереджає про критичну, тривалу атаку на ланцюг постачання через Axios

За словами Ферроса Абухадіджеха (співзасновника компанії Socket Security, що спеціалізується на безпеці), на Axios, одному з найбільш залежних пакетів npm, є активний ланцюг постачання.

NPM означає Node Package Manager і, по суті, є найбільшим у світі реєстром програмного забезпечення, який розміщує понад два мільйони пакетів відкритого коду JavaScript. Є підстави стверджувати, що це основа сучасної розробки Web3.

За словами Ферроса, найновіший axios@1.14.1 наразі підтягує plain-crypto-just@4.2.1 — пакет, якого не існувало до сьогодні, що свідчить про живий компрометуючий інцидент.

Це класичне шкідливе ПЗ для встановлення через ланцюг постачання. У Axios 100M+ щотижневих завантажень. Кожен npm install, який тягне найновішу версію, потенційно вже скомпрометований прямо зараз. Socket AI analyiss підтверджує, що це зловмисне ПЗ. Plain-crypto-js — це обфускований дроппер/loadre.”

Шкідливе програмне забезпечення може виконувати низку дій, зокрема видаляти та перейменовувати артефакти після виконання, щоб знищити докази для форенсики, готувати й копіювати файли корисного навантаження в тимчасові директорії ОС та директорії Windows ProgramData, виконувати декодовані shell-команди та багато іншого.

🚨 КРИТИЧНО: Активна атака на ланцюг постачання axios — один із найбільш залежних пакетів npm.

Наразі найновіший axios@1.14.1 підтягує plain-crypto-js@4.2.1 — пакет, якого не існувало до сьогодні. Це живий компрометуючий інцидент.

Це класичне шкідливе ПЗ для встановлення через ланцюг постачання. axios…

— Feross (@feross) 31 березня 2026

Експерт рекомендує розробникам, які використовують axios, негайно фіксувати (pin) свої версії та аудитувати їхні lockfiles, водночас утримуючись від будь-яких оновлень на цей час.

СПЕЦІАЛЬНА ПРОПОЗИЦІЯ (Ексклюзивно)

Безкоштовно від Binance $600 (CryptoPotato Exclusive): Використайте це посилання, щоб зареєструвати новий акаунт і отримати $600 ексклюзивної вітальної пропозиції на Binance (усі деталі).

ОБМЕЖЕНА ПРОПОЗИЦІЯ для читачів CryptoPotato на Bybit: Використайте це посилання, щоб зареєструватися та відкрити позицію FREE на $500 на будь-якій монеті!

Теги:

										Злом