Socket：gói npm axios bị tấn công chuỗi cung ứng, phiên bản mới nhất 1.14.1 đã bị chèn mã độc

MeNews · 2026-04-01T01:42:55+00:00

Người sáng lập SlowMist, , cảnh báo rằng gói phụ thuộc cốt lõi trong hệ sinh thái npm là axios đã bị tấn công chuỗi cung ứng hoạt động, phiên bản mới nhất bị tiêm mã độc. Khuyến nghị người dùng khóa phiên bản để tránh nâng cấp.

MeNews

2026-04-01 01:42:55

Đang tạo bản tóm tắt

Tin tức ME: Ngày 31 tháng 3 (UTC+8), người sáng lập SlowMist là Yu Xuan đã chuyển tiếp một cảnh báo của người sáng lập Socket AI, Feross, cho biết các gói phụ thuộc cốt lõi trong hệ sinh thái npm, cụ thể là axios, đã bị tấn công chuỗi cung ứng đang hoạt động. Phiên bản mới nhất của axios là axios@1.14.1 đã bị chèn một gói độc hại chưa từng tồn tại trước đó là plain-crypto-js@4.2.1. Phân tích của Socket AI đã xác nhận gói này là phần mềm độc hại. Lượt tải axios mỗi tuần vượt quá 1 trăm triệu lần, và tất cả các dự án đều kéo về phiên bản mới nhất đều đối mặt với rủi ro xâm nhập tiềm ẩn. Feross khuyến nghị tất cả người dùng axios ngay lập tức khóa phiên bản và rà soát tệp khóa, đừng nâng cấp lên phiên bản mới nhất. (Nguồn: Foresight News)

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.

1 thích