攻击者窃取了 JavaScript 中最流行的 HTTP 客户端库 axios 的主要维护者的长期 npm 访问令牌,并使用它发布了两个安装跨平台远程访问木马的中毒版本。
恶意版本针对 macOS、Windows 和 Linux。
它们在 npm 注册表中存在大约三个小时后被删除。
Axios 每周下载量超过 1 亿次。
Wiz 报告称,它存在于大约 80% 的云和代码环境中,涉及从 React 前端到 CI/CD 管道再到无服务器功能的所有内容。
这一次,目标采用了安全界推荐的所有防御措施。
来源:VentureBeat
