Axios,最受歡迎的 JavaScript 函式庫之一,可能已遭到入侵並涉及加密錢包攻擊。npm 套件攻擊變得越來越普遍,直接攻擊專案、開發者和終端使用者。
一個 Axios npm 套件被發布到官方 JavaScript 函式庫,並在數小時後被取消發布。鏈上安全專家攔截了這次攻擊,該攻擊活躍了約三個小時。
npm 套件透過 @jasonsaayman 的憑證遭到入侵,研究人員仍在尋找該帳戶被入侵的跡象。受影響的套件被識別為 [email protected] 和 [email protected]。
正如 Cryptopolitan 先前報導的,npm 攻擊經常針對加密錢包,對於擁有大量團隊持有的去中心化專案尤其危險。
Axios npm 攻擊中發生了什麼?
StepSecurity 是最早識別此問題的機構之一。兩個惡意版本的 Axios HTTP 客戶端函式庫透過被入侵的 Axios 主要維護者憑證發布,繞過了 GitHub 上的正常發布流程。
根據 StepSecurity,這是針對廣泛使用的前 10 名 npm 套件最複雜的攻擊。惡意套件版本注入了一個新的依賴項 [email protected],該依賴項並未在 axios 原始碼中匯入。該依賴項執行安裝後腳本,在所有作業系統上都處於活躍狀態。
使用 npm 後,客戶端會感染遠端存取木馬投放器,該投放器擁有即時伺服器並傳遞有效載荷。惡意軟體還會自我刪除並用乾淨版本替換可疑的 .json 以逃避偵測。
哪些類型的專案受到影響?
這些 npm 套件是最受歡迎的套件之一,每週下載量高達 1 億次。然而,目前沒有未經授權的加密貨幣轉移報告。此前,一次 npm 攻擊僅導致來自不知名代幣的 1,000 美元加密貨幣損失。
限制惡意 npm 的唯一方法是追蹤版本且不允許自動升級,或檢查新版本是否有潛在的惡意上傳。
研究人員還發現了另外兩個以相同方式傳遞有效載荷的惡意套件 – @shadanai/openclaw 和 @qqbrowser/openclaw-qbot。該攻擊僅在 LiteLLM 惡意程式碼注入事件一週後發生。
在攻擊期間,沒有 Web3 或 OpenClaw 專案受影響或任何加密貨幣被盜的報告。然而,已發出警告稱 npm 攻擊現在可能成為常態,無論是透過被盜憑證還是未經授權的發布者。該威脅緊隨之前關於使用 OpenClaw 技能平台惡意程式碼的警告。
這些套件不僅限於 Web3 或機器人專案,可能會影響任何與加密錢包連結的有效載荷。對 npm 和 Python 的 pip 安裝失去信任也可能侵蝕對函式庫生態系統的整體信任,並呼籲採用更安全的上傳路徑。
AI 代理的使用也可能導致不加選擇的套件下載,傳播威脅。對加密錢包的實際影響可能不會立即顯現,但仍可能暴露錢包資料。
您的銀行正在使用您的錢。您只得到殘渣。觀看我們關於成為自己的銀行的免費影片
Source: https://www.cryptopolitan.com/supply-chain-attack-axios-crypto-wallets/
