O pacote de dependências centrais do npm, axios, na versão 1.14.1, foi alvo de um ataque à cadeia de fornecimento, tendo sido inserido código malicioso

Notícias do Gate News, a 31 de março, a Socket AI publicou um alerta de segurança: o pacote de dependência central do ecossistema npm, o axios, está a ser alvo de um ataque activo à cadeia de fornecimento. A sua versão mais recente, axios@1.14.1, foi infetada com um pacote malicioso plain-crypto-js@4.2.1, que nunca tinha existido antes. A análise da Socket AI confirmou que este pacote é malware. O número de downloads semanais do axios ultrapassa 100 milhões de vezes; todos os projetos que obtêm as versões mais recentes enfrentam um risco potencial de intrusão. O fundador da Socket AI, Feross, recomenda que todos os utilizadores do axios bloqueiem imediatamente a versão e revejam o ficheiro de bloqueio; não atualizem para a versão mais recente.
Isenção de responsabilidade: as informações nesta página podem ter origem em fontes terceiras e servem apenas como referência. Não representam as opiniões da Gate e não constituem orientação financeira, de investimentos ou jurídica. A negociação de ativos virtuais envolve alto risco. Não tome decisões baseando-se apenas nas informações desta página. Para mais detalhes, consulte a Isenção de responsabilidade.
Comentário
0/400
Sem comentários