axiosถูกโจมตีทางซัพพลายเชน: เวอร์ชันใหม่สองเวอร์ชันนำเข้าขึ้นอยู่ที่เป็นอันตราย ควรย้อนกลับทันที

อ้างอิงจากการติดตามของ 1M AI News ทีมวิจัยของบริษัทความปลอดภัยห่วงโซ่อุปทาน Socket เปิดเผยในวันนี้ว่าไลบรารีคำขอ HTTP ของ JavaScript ที่ใช้งานอย่างแพร่หลาย axios ถูกโจมตีในรูปแบบการโจมตีห่วงโซ่อุปทาน มีการเปิดตัวเวอร์ชันใหม่ 2 รุ่น (v1.14.1 และ v0.30.4) ซึ่งทั้งคู่มี dependency ที่เป็นอันตราย และสองเวอร์ชันนี้ไม่ปรากฏในประวัติการ Release ของ GitHub อย่างเป็นทางการของ axios ซึ่งเป็นการเบี่ยงเบนจากขั้นตอนการเผยแพร่ปกติของโปรเจกต์

ทั้งสองเวอร์ชันได้เพิ่มแพ็กเกจอันตราย plain-crypto-js@4.2.1 แพ็กเกจอันตรายดังกล่าวเผยแพร่เมื่อ 30 มีนาคม 23:59:12 UTC และการตรวจจับแบบอัตโนมัติของ Socket จะทำเครื่องหมายหลังจากนั้นประมาณ 6 นาที Socket ระบุว่าเวลานี้สอดคล้องกับการเผยแพร่เวอร์ชันใหม่ของ axios อย่างมาก ซึ่งชี้ว่า dependency ที่เป็นอันตรายถูกประสานงานเพื่อปล่อยร่วมกับการเผยแพร่ของ axios บัญชี npm ที่เชื่อมโยงกับแพ็กเกจอันตรายคือ jasonsaayman และ Socket กล่าวว่าสิ่งนี้ทำให้เกิดความกังวลเกี่ยวกับ “การเผยแพร่โดยไม่ได้รับอนุญาตหรือบัญชีถูกบุกรุก”

Socket แนะนำให้นักพัฒนารีบตรวจสอบว่าโปรเจกต์ของตนมี dependency และ lockfile ที่มี axios@1.14.1, axios@0.30.4 หรือ plain-crypto-js@4.2.1 หรือไม่ หากพบให้ย้อนกลับทันทีไปยังเวอร์ชันที่ทราบว่าสามารถใช้งานได้อย่างปลอดภัย เหตุการณ์ยังคงอยู่ระหว่างการสอบสวนเพิ่มเติม