Socket: حزمة npm axios تتعرض لهجوم على سلسلة التوريد، وتم إدخال رمز خبيث في الإصدار الأخير 1.14.1

أخبار ME، 31 مارس (UTC+8)، نقل مؤسس شركة SlowMist يو شي شين تحذيرًا من مؤسس Socket AI Feross، حيث ذكر أن الحزمة التابعة لاعتماديات أساسية في نظام npm البيئي، axios، قد تعرضت لهجوم نشط على سلسلة التوريد، وأن أحدث إصدار من axios@1.14.1 قد تم حقنه بحزمة ضارة جديدة لم تكن موجودة سابقًا وهي plain-crypto-js@4.2.1. وقد أكدت تحليلات Socket AI أن هذه الحزمة تعد برمجية خبيثة، وأن عدد التنزيلات الأسبوعية لـ axios يزيد عن 100 مليون مرة، وأن جميع المشاريع التي تقوم بسحب أحدث الإصدارات تواجه مخاطر اختراق محتملة. ويقترح Feross على جميع مستخدمي axios قفل الإصدار فورًا ومراجعة ملف القفل، وتجنب الترقية إلى أحدث إصدار. (المصدر: Foresight News)