axios зазнав атаки через ланцюг постачання: дві нові версії містять шкідливі залежності, рекомендується негайно повернутися до попередньої версії

За моніторингом 1M AI News, дослідницька команда компанії з безпеки ланцюгів постачання Socket сьогодні розкрила, що широко використовувана бібліотека JavaScript для HTTP-запитів axios зазнала атаки на ланцюг постачання. Обидва щойно опубліковані версії (v1.14.1 і v0.30.4) містять шкідливі залежності, і ці дві версії не з’являлися в офіційній історії випусків GitHub axios, що відхиляється від нормального процесу публікації проєкту.

В обох версіях запроваджено шкідливий пакет plain-crypto-js@4.2.1. Цей шкідливий пакет було опубліковано 30 березня о 23:59:12 UTC, і автоматизоване виявлення Socket позначило його приблизно через 6 хвилин. Socket зазначає, що цей час дуже точно збігається з релізом нових версій axios, що вказує на те, що шкідливі залежності були скоординовано підкинуті разом із випуском axios. Шкідливий пакет пов’язаний із обліковим записом npm jasonsaayman; Socket стверджує, що це викликає занепокоєння щодо «несанкціонованої публікації або зламу акаунта».

Socket радить розробникам негайно перевірити залежності проєкту та lockfile на наявність axios@1.14.1, axios@0.30.4 або plain-crypto-js@4.2.1; якщо буде виявлено — негайно відкотити до відомих безпечних версій. Подія ще триває розслідуванням.