Socket : le package npm axios victime d'une attaque de la chaîne d'approvisionnement, la dernière version 1.14.1 contenant du code malveillant

MeNews · 2026-04-01T01:42:55+00:00

Le fondateur de SlowMist, Yu Xian, avertit que le package essentiel axios dans l'écosystème npm a été victime d'une attaque active sur la chaîne d'approvisionnement, et que la dernière version a été injectée avec un package malveillant. Il est conseillé aux utilisateurs de verrouiller la version pour éviter toute mise à jour.

MeNews

2026-04-01 01:42:55

Création du résumé en cours

Actualités ME : le 31 mars (UTC+8), Yu Xuan, fondateur de SlowMist, a relayé l’alerte du fondateur de Socket AI, Feross. Il affirme que des attaques de chaîne d’approvisionnement actives ont touché le paquet de dépendance central de l’écosystème npm, axios. Sa dernière version, axios@1.14.1, a été injectée avec un paquet malveillant plain-crypto-js@4.2.1, qui n’avait jamais existé auparavant. L’analyse de Socket AI a confirmé que ce paquet est un logiciel malveillant ; les téléchargements d’axios dépassent 100 millions de fois par semaine, et tous les projets qui récupèrent la dernière version font face à un risque d’intrusion potentiel. Feross recommande à tous les utilisateurs d’axios de verrouiller immédiatement la version et d’examiner le fichier de verrouillage, sans jamais passer à la dernière version. (Source : Foresight News)

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.

1 J'aime