MEニュース メッセージ。3月31日(UTC+8)、SlowMistの創設者 余弦が、Socket AIの創設者 Feross の警告を転送し、npmエコシステムの中核依存パッケージである axios がアクティブなサプライチェーン攻撃を受けたと述べた。同社の最新バージョンである axios@1.14.1 には、これまで存在したことのない悪意のあるパッケージ plain-crypto-js@4.2.1 が注入されていた。Socket AI の分析により、このパッケージがマルウェアであることが確認されている。axios の週次ダウンロード数は1億回超であり、最新バージョンを取得するすべてのプロジェクトが潜在的な侵入リスクに直面している。Feross は、すべての axios ユーザーに対し、直ちにバージョンを固定し、ロックファイルを確認するよう勧めている。最新バージョンへのアップグレードは行わないこと。(出典:Foresight News)
Socket:npm パッケージ axios がサプライチェーン攻撃を受け、最新バージョン 1.14.1 に悪意のあるコードが仕込まれました
MEニュース メッセージ。3月31日(UTC+8)、SlowMistの創設者 余弦が、Socket AIの創設者 Feross の警告を転送し、npmエコシステムの中核依存パッケージである axios がアクティブなサプライチェーン攻撃を受けたと述べた。同社の最新バージョンである axios@1.14.1 には、これまで存在したことのない悪意のあるパッケージ plain-crypto-js@4.2.1 が注入されていた。Socket AI の分析により、このパッケージがマルウェアであることが確認されている。axios の週次ダウンロード数は1億回超であり、最新バージョンを取得するすべてのプロジェクトが潜在的な侵入リスクに直面している。Feross は、すべての axios ユーザーに対し、直ちにバージョンを固定し、ロックファイルを確認するよう勧めている。最新バージョンへのアップグレードは行わないこと。(出典:Foresight News)