Socket: npm package axios foi alvo de um ataque à cadeia de abastecimento, a versão mais recente 1.14.1 foi comprometida com código malicioso

MeNews · 2026-04-01T01:42:55+00:00

O fundador da SlowMist, Yu Xian, alertou que o pacote de dependência central do ecossistema npm, axios, foi alvo de um ataque ativo à cadeia de suprimentos, com a versão mais recente sendo infectada por um pacote malicioso. Recomenda-se aos utilizadores que bloqueiem a versão para evitar atualizações.

MeNews

2026-04-01 01:42:55

Geração de resumo em curso

Notícia do ME News: a mensagem, a 31 de março (UTC+8), o fundador da SlowMist, Yu Xian, partilhou o alerta do fundador da Socket AI, Feross, afirmando que um pacote de dependência central na ecossistema npm, o axios, foi alvo de um ataque ativo de cadeia de fornecimento. A sua versão mais recente, axios@1.14.1, foi injectada com um pacote malicioso plain-crypto-js@4.2.1 que anteriormente nunca existira. A análise da Socket AI já confirmou que este pacote é malware. O axios tem mais de 100 milhões de downloads por semana, e todos os projetos que façam pull da versão mais recente enfrentam um risco potencial de intrusão. Feross recomenda que todos os utilizadores do axios bloqueiem imediatamente a versão e verifiquem o ficheiro de bloqueio; não actualizem para a versão mais recente. (Fonte: ME News)

Ver original

Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.

1 gostos