MEニュース メッセージ。3月31日(UTC+8)、SlowMist創設者の余弦がSocket AIの創設者Ferossの警告を転送し、npmエコシステムの中核依存パッケージであるaxiosが、活発なサプライチェーン攻撃を受けたと述べました。その最新バージョンaxios@1.14.1には、これまで存在したことのない悪意のあるパッケージ plain-crypto-js@4.2.1 が注入されていました。Socket AIの分析により、このパッケージがマルウェアであることが確認されています。axiosの週あたりのダウンロード数は1億回を超え、最新バージョンを取得しているすべてのプロジェクトが潜在的な侵入リスクに直面しています。Ferossは、すべてのaxiosユーザーに対し、直ちにバージョンを固定し、ロックファイルを確認するよう推奨しており、最新バージョンへのアップグレードはしないよう呼びかけています。(出典:Foresight News)
Socket:npm パッケージ axios がサプライチェーン攻撃を受け、最新バージョン 1.14.1 に悪意のあるコードが仕込まれました
MEニュース メッセージ。3月31日(UTC+8)、SlowMist創設者の余弦がSocket AIの創設者Ferossの警告を転送し、npmエコシステムの中核依存パッケージであるaxiosが、活発なサプライチェーン攻撃を受けたと述べました。その最新バージョンaxios@1.14.1には、これまで存在したことのない悪意のあるパッケージ plain-crypto-js@4.2.1 が注入されていました。Socket AIの分析により、このパッケージがマルウェアであることが確認されています。axiosの週あたりのダウンロード数は1億回を超え、最新バージョンを取得しているすべてのプロジェクトが潜在的な侵入リスクに直面しています。Ferossは、すべてのaxiosユーザーに対し、直ちにバージョンを固定し、ロックファイルを確認するよう推奨しており、最新バージョンへのアップグレードはしないよう呼びかけています。(出典:Foresight News)