Socket：npm пакет axios зазнав атаки на ланцюг постачання, остання версія 1.14.1 містить шкідливий код

MeNews · 2026-04-01T01:42:55+00:00

Засновник SlowMist Юй Сян попереджає, що основний залежний пакет у екосистемі npm, axios, зазнав активної атаки на ланцюг постачання, і в останню версію було вставлено шкідливий пакет. Рекомендується користувачам зафіксувати версію, щоб уникнути оновлень.

MeNews

2026-04-01 01:42:55

Генерація анотацій у процесі

МЕ Новини, повідомлення від 31 березня (UTC+8): засновник SlowMist Юй Сянь поширив попередження засновника Socket AI Феросса. Повідомляється, що в npm-екосистемі її базові залежності—пакети axios—зазнали активної атаки на ланцюг постачання. У найновішій версії axios@1.14.1 було ін’єковано шкідливий пакет plain-crypto-js@4.2.1, якого раніше не існувало. Socket AI проаналізувала й підтвердила, що цей пакет є зловмисним ПЗ. Завантаження axios щотижня перевищують 100 мільйонів разів, і всі проєкти, що стягують найновіші версії, стикаються з потенційним ризиком компрометації. Феросс радить усім користувачам axios негайно зафіксувати версію та переглянути файл блокування; не оновлюйтеся до найновіших версій. (Джерело: Foresight News)

Переглянути оригінал

Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.

1 лайків