Hai bản phát hành npm Axios độc hại đã khiến các nhà phát triển nhận được cảnh báo phải xoay vòng thông tin đăng nhập và coi các hệ thống bị ảnh hưởng là đã bị xâm phạm sau một cuộc tấn công chuỗi cung ứng làm “bẩn” (poison) thư viện HTTP phổ biến của JavaScript.
Sự việc lần đầu được công ty an ninh mạng Socket thông báo, cho biết axios@1.14.1 và axios@0.30.4 đã bị chỉnh sửa để tải vào plain-crypto-js@4.2.1, một phần phụ thuộc độc hại chạy tự động trong quá trình cài đặt trước khi các bản phát hành này bị gỡ khỏi npm.
Theo công ty an ninh OX Security, đoạn mã đã bị thay đổi có thể giúp kẻ tấn công truy cập từ xa vào các thiết bị bị nhiễm, cho phép chúng đánh cắp các dữ liệu nhạy cảm như thông tin đăng nhập, khóa API và thông tin ví tiền mã hóa.
Sự cố này cho thấy một thành phần mã nguồn mở bị xâm phạm đơn lẻ có thể lan rộng tới hàng nghìn ứng dụng phụ thuộc vào nó, làm lộ không chỉ các nhà phát triển mà cả các nền tảng và người dùng được kết nối với hệ thống.
Các công ty an ninh kêu gọi xoay vòng khóa, kiểm tra hệ thống
OX Security cảnh báo các nhà phát triển đã cài đặt axios@1.14.1 hoặc axios@0.30.4 rằng cần coi hệ thống của họ đã bị xâm phạm hoàn toàn và ngay lập tức xoay vòng thông tin đăng nhập, bao gồm các khóa API và token phiên.
Socket cho biết các bản phát hành Axios bị xâm phạm đã được chỉnh sửa để bao gồm một phụ thuộc vào plain-crypto-js@4.2.1, một gói được công bố ngay trước sự việc và sau đó được xác định là độc hại.
Liên quan: __ Tiện ích mở rộng Trust Wallet trên trình duyệt bị Chrome Store làm “ngắt” do ‘lỗi’, CEO cho biết
Công ty cho biết phần phụ thuộc này được cấu hình để chạy tự động trong quá trình cài đặt thông qua một tập lệnh post-install, cho phép kẻ tấn công thực thi mã trên các hệ thống mục tiêu mà không cần thêm tương tác từ người dùng.
Socket khuyên các nhà phát triển rà soát dự án và các tệp phụ thuộc của họ đối với các phiên bản Axios bị ảnh hưởng và gói plain-crypto-js@4.2.1 tương ứng, và xóa hoặc khôi phục (roll back) ngay lập tức bất kỳ phiên bản nào bị xâm phạm.
Các sự cố tiền mã hóa trước đó nhấn mạnh rủi ro chuỗi cung ứng
Các sự cố tiền mã hóa trước đây đã cho thấy các vi phạm chuỗi cung ứng có thể leo thang từ việc đánh cắp thông tin của nhà phát triển đến những khoản lỗ đối với người dùng cuối trong ví.
Vào ngày 3 tháng 1, nhà điều tra trên chuỗi ZachXBT báo cáo rằng “hàng trăm” ví trên các mạng tương thích với Ethereum Virtual Machine đã bị rút cạn trong một cuộc tấn công quy mô lớn, trong đó kẻ tấn công hút đi các khoản nhỏ từ mỗi nạn nhân.
Nhà nghiên cứu an ninh mạng Vladimir S. cho biết sự cố này có thể liên quan đến một vụ vi phạm hồi tháng 12 ảnh hưởng đến Trust Wallet, dẫn đến thiệt hại khoảng $7 triệu trên hơn 2,500 ví.
Trust Wallet sau đó cho biết cuộc xâm phạm có thể bắt nguồn từ một sự thỏa hiệp chuỗi cung ứng liên quan đến các gói npm được sử dụng trong quy trình phát triển của họ.
Magazine: __ Không ai biết liệu mật mã an toàn cho lượng tử có hoạt động được hay không
Cointelegraph cam kết với hoạt động báo chí độc lập và minh bạch. Bài tin tức này được sản xuất phù hợp với Chính sách Biên tập của Cointelegraph và nhằm cung cấp thông tin chính xác, kịp thời. Khuyến khích người đọc tự xác minh thông tin một cách độc lập. Đọc Chính sách Biên tập của chúng tôi
- #Blockchain
- #Security
- #Hackers
- #Cybersecurity
- #Hacks
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
