IT之家 3 月 31 日消息,安全研究机构 StepSecurity 昨天发文称,主流 JavaScript 库 Axios 的两个 npm 版本 axios@1。
IT之家在此援引 StepSecurity,黑客劫持了 Axios 核心维护者“jasonsaayman”的 npm 账号,将邮箱替换为匿名的 ProtonMail,随后绕过正常的 GitHub Actions 流程手动发布被污染版本,并直接通过 npm CLI 上传恶意安装包。
这个恶意安装包本身并没有直接修改 Axios 源码,而是注入了 plain-crypto-js@4。
1 虚假依赖包,它原本在代码中从未被引用,唯一作用是执行 postinstall脚本并自动在安装时运行。
从流程来讲,攻击者提前18小时发布了plain-crypto-js@4。
而后者是真正的恶意版本,利用4。
来源:IT之家
