Socket: حزمة npm axios تتعرض لهجوم على سلسلة التوريد، وتم إدخال رمز خبيث في الإصدار الأخير 1.14.1

أخبار ME، في 31 مارس (UTC+8)، قام مؤسس SlowMist، يو شين، بإعادة نشر تحذير من مؤسس Socket AI، Feross، جاء فيه أن حزمة اعتماد أساسية في نظام npm البيئي، axios، تتعرض لهجمات نشطة على سلسلة الإمداد. ووفقًا لذلك، تم إدخال أحدث إصدار من axios وهو axios@1.14.1 إلى حزمة خبيثة جديدة لم تكن موجودة من قبل باسم plain-crypto-js@4.2.1. وقد أكد تحليل Socket AI أن هذه الحزمة هي برنامج خبيث. كما تتجاوز عمليات تنزيل axios الأسبوعية 1 مليار مرة، وأن جميع المشاريع التي تقوم بسحب أحدث الإصدارات تواجه مخاطر محتملة للاختراق. يُنصح جميع مستخدمي axios بقفل الإصدار على الفور ومراجعة ملف القفل، ولا يجب الترقية إلى أحدث إصدار. (المصدر: Foresight News)