Ý tưởng của XO

03-31

Bài viết này được dịch máy

Xem bản gốc

Bạn có hiểu chuyện gì vừa xảy ra với một trong những gói npm được sử dụng nhiều nhất trên internet không? → Axios được tải xuống hơn 100 triệu lần mỗi tuần và hôm nay nó đã bị xâm phạm. → Một kẻ tấn công đã chiếm đoạt thông tin đăng nhập npm của người quản lý chính dự án axios… thay đổi địa chỉ email tài khoản thành địa chỉ ProtonMail ẩn danh… và tự tay xuất bản hai phiên bản bị nhiễm độc. → axios@1.14.1 và axios@0.30.4… cả hai phiên bản đều không chứa một dòng mã độc hại nào bên trong chính axios. Thay vào đó, chúng chèn một phụ thuộc giả mạo có tên là plain-crypto-js, phụ thuộc này sẽ cài đặt một phần mềm độc hại truy cập từ xa vào máy tính của bạn. → Sự phụ thuộc giả mạo đã được dàn dựng trước 18 giờ… ba payload riêng biệt đã được tạo sẵn cho macOS, Windows và Linux… cả hai nhánh phát hành đều bị tấn công trong vòng 39 phút. Mỗi dấu vết cũng được thiết kế để tự hủy sau khi thực thi. → Không có thẻ nào trong kho lưu trữ GitHub của axios cho phiên bản 1.14.1. Phiên bản này được phát hành hoàn toàn ngoài quy trình phát hành thông thường... đã bỏ qua hoàn toàn CI/CD. → StepSecurity gọi đây là một trong những cuộc tấn công chuỗi cung ứng tinh vi nhất từng nhắm vào một gói npm thuộc top 10. → Một thao tác cài đặt npm thông thường vô tình mở ra một cửa hậu… không có cảnh báo… không có mã đáng ngờ nào hiển thị trong chính axios. Đây chính là lời cảnh tỉnh mà tất cả những anh em đam mê lập trình cần nghe ngay lúc này: → Nếu bạn đã cài đặt bất kỳ phiên bản nào… hãy cho rằng hệ thống của bạn đã bị xâm phạm. → ghim vào axios@1.14.0 hoặc axios@0.30.3 → Xoay vòng tất cả các bí mật, khóa API, khóa SSH và thông tin đăng nhập trên các máy bị ảnh hưởng. → Kiểm tra nhật ký mạng để tìm các kết nối C2 → Thêm tùy chọn –ignore-scripts vào các lệnh cài đặt npm trên CI trong tương lai. 100 triệu lượt tải xuống mỗi tuần và một tài khoản người bảo trì bị xâm phạm… Chỉ bấy nhiêu thôi cũng đủ để gây ra sự tàn phá khủng khiếp. Và tôi nghĩ chúng ta sẽ thấy nhiều hơn thế nữa… thời kỳ điên rồ đang chờ đợi an ninh mạng và lập trình cảm xúc. Mọi người hãy giữ an toàn nhé!

Feross

@feross

03-31

🚨 CRITICAL: Active supply chain attack on axios -- one of npm's most depended-on packages. The latest axios@1.14.1 now pulls in plain-crypto-js@4.2.1, a package that did not exist before today. This is a live compromise. This is textbook supply chain installer malware. axios

Từ Twitter

Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.

Thích

Thêm vào Yêu thích

Bình luận

Chia sẻ

Nội dung liên quan