Axios,作为最受欢迎的JavaScript库之一,可能已被入侵并卷入加密钱包攻击。npm包攻击正变得越来越普遍,直接攻击项目、开发者和最终用户。
一个Axios npm包被发布到官方JavaScript库,几小时后又被撤下。链上安全专家拦截了这次攻击,攻击活跃了大约三小时。
npm包通过@jasonsaayman的凭证被入侵,研究人员仍在寻找该账户被入侵的迹象。受影响的包被识别为[email protected]和[email protected]。
正如Cryptopolitan 此前报道,npm攻击经常针对加密钱包,对于拥有大量团队持仓的去中心化项目尤其危险。
Axios npm攻击中发生了什么?
StepSecurity是最早识别此问题的机构之一。两个恶意版本的Axios HTTP客户端库通过被入侵的Axios首席维护者凭证发布,绕过了GitHub上的正常发布流程。
根据StepSecurity的说法,这是针对广泛使用的前10大npm包最复杂的攻击。恶意包版本注入了一个新的依赖项[email protected],该依赖项未在axios源代码中导入。该依赖项运行安装后脚本,在所有操作系统上都处于活动状态。
使用npm后,客户端会感染远程访问木马投放器,该投放器拥有活跃服务器并传递有效载荷。恶意软件还会自行删除,并用干净版本替换可疑的.json文件以逃避检测。
哪些类型的项目受到影响?
这些npm包是最受欢迎的包之一,每周下载量高达1亿次。然而,目前还没有未经授权的加密货币转移报告。此前,一次npm攻击仅导致价值1,000美元的冷门代币损失。
限制恶意npm的唯一方法是跟踪版本并不允许自动升级,或检查新版本是否存在潜在的恶意上传。
研究人员还发现了另外两个以相同方式传递有效载荷的恶意包——@shadanai/openclaw和@qqbrowser/openclaw-qbot。这次攻击距离LiteLLM恶意代码注入事件仅一周时间。
在攻击期间,没有Web3或OpenClaw项目受影响或任何加密货币被盗的报告。然而,警告称npm攻击现在可能成为常态,无论是通过被盗凭证还是未经授权的发布者。这一威胁延续了之前关于使用OpenClaw技能平台的恶意代码警告。
这些包不限于Web3或机器人项目,可能影响任何与加密钱包相关的有效载荷。对npm和Python的pip安装失去信任也可能侵蚀对库生态系统的普遍信任,人们呼吁建立更安全的上传路径。
使用AI代理也可能导致不加选择地下载包,从而传播威胁。对加密钱包的实际影响可能不会立即显现,但仍可能暴露钱包数据。
你的银行正在使用你的钱。你只得到残羹剩饭。观看我们的免费视频,了解如何成为自己的银行
来源: https://www.cryptopolitan.com/supply-chain-attack-axios-crypto-wallets/
