استنادًا إلى رصد 1M AI News، كشفت اليوم مجموعة أبحاث شركة أمان سلسلة التوريد Socket عن تعرض مكتبة طلبات HTTP الشائعة الاستخدام في JavaScript، axios، لهجوم على سلسلة التوريد. يتضمن كل من الإصدارين الجديدين اللذين تم إصدارهما (v1.14.1 وv0.30.4) تبعيات خبيثة، ولا يظهر هذان الإصداران ضمن سجل إصدارات axios الرسمي على GitHub، مما يشير إلى انحراف عن مسار النشر المعتاد للمشروع.
أدخل كلا الإصدارين الحزمة الخبيثة plain-crypto-js@4.2.1. تم نشر هذه الحزمة الخبيثة في 3 مارس 30 الساعة 23:59:12 بتوقيت UTC، وقامت أدوات الكشف الآلي لدى Socket بتحديدها بعد حوالي 6 دقائق. وأوضح Socket أن هذه اللحظة تتزامن بشكل كبير مع إصدار نسخ axios الجديدة، ما يدل على أن التبعية الخبيثة تم تنسيقها لنشرها بالتزامن مع إصدارات axios. اسم حساب npm المرتبط بالحزمة الخبيثة هو jasonsaayman، ويقول Socket إن هذا أثار مخاوف من «نشر غير مصرح به أو اختراق الحساب».
ينصح Socket المطورين بالتحقق فورًا من تبعيات المشروع وملف lockfile لمعرفة ما إذا كان يتضمن axios@1.14.1 أو axios@0.30.4 أو plain-crypto-js@4.2.1، وفي حال العثور على ذلك فليقوموا بإجراء التراجع فورًا إلى إصدار معروف بأنه آمن. وما تزال الحادثة قيد التحقيق المستمر.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
