axios подвергся атаке цепочки поставок: две новые версии содержат вредоносные зависимости, рекомендуется немедленно откатить изменения

Согласно мониторингу 1M AI News, сегодня исследовательская группа компании по безопасности цепочек поставок Socket раскрыла, что широко используемая библиотека JavaScript для HTTP-запросов axios подверглась атаке в цепочке поставок. Оба недавно выпущенных версии (v1.14.1 и v0.30.4) содержат вредоносные зависимости, и эти версии не отображаются в истории официальных релизов axios на GitHub, что отклоняется от обычного процесса выпуска проекта.

Обе версии добавляют вредоносный пакет plain-crypto-js@4.2.1. Этот вредоносный пакет был опубликован 30 марта в 23:59:12 UTC, а автоматизированное обнаружение Socket отметило его примерно через 6 минут. Socket указывает, что это время весьма тесно совпадает с выпуском новых версий axios, что свидетельствует о скоординированной подаче вредоносных зависимостей в привязке к релизу. Связанный с вредоносным пакетом аккаунт npm — jasonsaayman; Socket заявляет, что это вызывает опасения относительно «несанкционированной публикации или компрометации аккаунта».

Socket рекомендует разработчикам немедленно проверить зависимости проекта и lockfile на наличие axios@1.14.1, axios@0.30.4 или plain-crypto-js@4.2.1; при обнаружении следует сразу откатиться к известным безопасным версиям. Инцидент по-прежнему находится в стадии расследования.