Thư viện máy khách HTTP phổ biến Axios đã bị hack trong kho của nền tảng NPM. Tin tặc đã lấy được tài khoản và mật khẩu quản trị viên của nhà phát triển thông qua một số phương tiện, sau đó phát hành hai phiên bản độc hại [email protected] và [email protected].
Phiên bản mang vi-rút không trực tiếp thêm mã độc vào Axios mà bí mật tiêm phiên bản phụ thuộc ẩn [email protected]. Do đó, chương trình cửa sau sẽ được thực thi tự động khi nhà phát triển thực hiện cài đặt và cuối cùng một Trojan truy cập từ xa sẽ được cài đặt.
Axios là một trong những thư viện JavaScript HTTP phổ biến nhất trên thế giới, với hơn 300 triệu lượt tải xuống mỗi tuần. Bất kỳ dự án nào đã thực thi npm install hoặc npm update trước hoặc sau ngày 31 tháng 3, miễn là bị khóa với hai phiên bản độc hại này, đều có thể bị cấy Trojan từ xa.
Hiện tại, các quan chức NPM đã xóa các phần phụ thuộc độc hại mang backdoor khỏi kho. Tuy nhiên, nhà phát triển chính của dự án vẫn chưa có phản hồi nên chưa rõ tài khoản bị rò rỉ như thế nào và liệu các biện pháp khắc phục cần thiết đã được thực hiện hay chưa.
Sau đây là các đề xuất bảo mật:
1. Hạ cấp ngay lập tức: Hạ cấp xuống phiên bản 1.14.0 hoặc 0.30.3 theo yêu cầu của dự án và sử dụng ghi đè để khóa phiên bản an toàn.
2. Xóa các phần phụ thuộc độc hại ngay lập tức: rm -rf node_modules/plain-crypto-js && npm install --ignore-scripts
3. Kiểm tra xem bạn có bị nhiễm hay không: npm list axios | grep -E"1.14.1|0.30.4"Quan sát phiên bản ở đầu ra
4. Tìm kiếm hệ thống để tìm các tệp đáng ngờ: /Library/Caches/com.apple.act.mond (macOS), /tmp/ld.py (Linux)
5. Thêm các biện pháp phòng thủ: trong phần Bắt buộc bổ sung --ignore-scripts trong CI/CD sẽ chặn tên miền sfrclak.com và 142.11.206.73
6. Khuyến nghị các nhà phát triển nên luân chuyển tất cả các khóa ngay lập tức để cải thiện tính bảo mật và thậm chí xây dựng lại môi trường nếu cần thiết.
Để biết báo cáo bảo mật chi tiết, vui lòng truy cập: Bước bảo mật