بوابة الأخبار، 2 أبريل، تعرضت مكتبة عملاء HTTP الأكثر شيوعًا في JavaScript، Axios، لهجوم على سلسلة التوريد. قام المهاجمون بسرقة رمز وصول npm الخاص بالمشرف الرئيسي على Axios، واستخدموا هذا الرمز لنشر نسختين خبيثتين تضمّان أحصنة طروادة بعيدة الوصول متعددة المنصات (RAT) (axios@1.14.1 و axios@0.30.4)، بهدف تغطية أنظمة macOS وWindows وLinux. بقيت الحزم الخبيثة على سجل npm لمدة تقارب 3 ساعات ثم تم إزالتها. وفقًا لبيانات شركة الأمان Wiz، تتجاوز عمليات تنزيل Axios الأسبوعية 100 مليون مرة، وهو موجود في نحو 80% من البيئات السحابية وبيئات الكود. كشفت شركة الأمان Huntress عن أولى حالات العدوى بعد 89 ثانية فقط من طرح الحزمة الخبيثة، وخلال فترة التعرض تم التأكد من اختراق ما لا يقل عن 135 نظامًا. ومن الجدير بالذكر أن مشروع Axios كان قد نشر سابقًا تدابير أمنية حديثة مثل آلية النشر الموثوق عبر OIDC وإثباتات تتبع المنشأ SLSA، لكن المهاجمين تجاوزوا هذه الحواجز بالكامل. كشفت التحقيقات أن المشروع، رغم تكوينه لـ OIDC، احتفظ أيضًا برمز NPM_TOKEN التقليدي طويل المفعول، وعندما يتعايش الاثنان معًا يكون npm افتراضيًا ذا أولوية لاستخدام الرمز التقليدي، ما يعني أن المهاجمين لم يكونوا بحاجة إلى تجاوز OIDC لإتمام عملية النشر.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
