Přejít k navigační liště

Zdroják » Zprávičky » Axios kompromitovaný na npm (supply chain útok)

Axios kompromitovaný na npm (supply chain útok)

Zprávičky JavaScript

Nálepky:

Populární knihovna axios byla krátce kompromitována na npm. Útočník získal přístup k maintainer účtu a publikoval škodlivé verze:

  • axios@1.14.1
  • axios@0.30.4

Jak útok fungoval

Nešlo o přímou úpravu kódu axiosu, ale o supply chain attack přes závislosti:

  1. Útočník přidal do balíčku novou závislost:
    • plain-crypto-js@4.2.1
  2. Tento balíček obsahoval škodlivý postinstall script, který se automaticky spustí při npm install.
  3. Script:
    • stáhne payload z externího serveru
    • spustí Remote Access Trojan (RAT)
    • funguje na Windows, macOS i Linuxu
  4. Malware:
    • umožňuje vzdálený přístup k zařízení
    • může krást credentials, tokeny nebo SSH klíče
    • snaží se zahladit stopy po instalaci

Útok je nebezpečný hlavně proto, že se spustí automaticky při instalaci závislostí, bez nutnosti aplikaci vůbec spustit.

Dopad

Ohrožené jsou build servery, CI/CD pipeline i lokální dev prostředí. Také mohlo dojít k potencionálnímu úniku API klíčů, přístupových tokenů nebo interních dat.

Doporučení

  • zkontrolovat verzi axiosu v projektu
  • pokud máte 1.14.1 nebo 0.30.4:
    • okamžitě downgrade (1.14.0 / 0.30.3)
    • považujte systém za kompromitovaný
  • dále:
    • rotate všechny credentials / secrets
    • zkontrolujte CI/CD (GitHub Actions, apod.)
    • rebuild čistého prostředí
    • projděte dependency lockfile

Pro detailnější zprávu: https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan

Student se zájmem o IT, programování a kybernetickou bezpečnost. Baví mě se učit novým věcem a posouvat své schopnosti dál. Když zrovna nesedím u kódu, věnuji se fitness a počítačovým hrám.

Komentáře

Odebírat
Upozornit na
guest
0 Komentářů
Nejstarší
Nejnovější Most Voted
Inline Feedbacks
Zobrazit všechny komentáře

EmDash: Duchovní nástupce WordPressu, který řeší bezpečnost pluginů

Webový vývoj
Komentáře: 0
Cloudflare přichází s ambiciózním projektem EmDash, který chce přepsat pravidla správy webového obsahu a nahradit dlouholetou dominanci WordPressu. Nový open source CMS, vytvořený za pouhé dva měsíce s pomocí AI, sází na moderní architekturu, důraz na bezpečnost i monetizaci a řeší klíčové problémy, které WordPress provázejí už desítky let.

Project Glasswing: Anthropic mění pravidla kybernetické bezpečnosti

AI
Komentáře: 0
Nový AI model Claude Mythos Preview dokáže autonomně nacházet bezpečnostní díry v každém hlavním operačním systému i prohlížeči – včetně zranitelností starých desítky let, které přežily miliony automatizovaných testů. Anthropic se rozhodl tuto schopnost nasadit jako nástroj obrany a svolal koalici dvanácti technologických gigantů – od Amazonu přes Microsoft až po JPMorganChase. Se závazkem 100 milionů dolarů a přístupem pro více než 40 organizací spravujících kritickou infrastrukturu je Project Glasswing závodem s časem: zajistit, aby obránci byli s těmito schopnostmi dřív než útočníci.

Git Worktree + Claude Code: paralelní vývoj a AI agenti ve více větvích najednou

Webový vývoj
Komentáře: 0
Git worktree posouvá práci s větvemi na úplně jinou úroveň – místo neustálého přepínání a stashování nabízí paralelní pracovní prostředí nad jedním repozitářem. V kombinaci s nástroji jako Claude Code navíc otevírá dveře k běhu více AI agentů současně, každý izolovaně ve své větvi, bez kolizí a zbytečné režie.

Sledujte Zdroják: