Connect with us

Hi, what are you looking for?

Kripto

Supply chain napad kompromitovao Axios npm pakete, izdavači upozoreni na rotaciju ključeva

Sigurnosne firme identifikovale maliciozne verzije axios@1.14.1 i 0.30.4, preporučuju hitnu zamenu kredencijala

Published

Foto Izvor: Pixabay / Iammrrob

Sigurnosne firme identifikovale maliciozne verzije axios@1.14.1 i 0.30.4, preporučuju hitnu zamenu kredencijala

Popularna JavaScript HTTP biblioteka Axios pogođena je supply chain napadom, nakon što su sigurnosne kompanije detektovale maliciozne npm verzije axios@1.14.1 i axios@0.30.4. Kompromitovani paketi su povukli zlonamernu zavisnost plain-crypto-js@4.2.1, koja je automatski pokretana tokom instalacije, omogućavajući napadačima daljinski pristup zaraženim uređajima i krađu senzitivnih podataka uključujući login podatke, API ključeve i informacije o kripto novčanicima.

Incident je prvi prijavila kompanija Socket, navodeći da su kompromitovane verzije Axios-a brzo uklonjene sa npm repozitorijuma, ali je šteta već mogla biti načinjena korisnicima koji su ih preuzeli. OX Security je upozorila da svi sistemi na kojima su instalirani pogođeni paketi treba da se tretiraju kao potpuno kompromitovani, uz hitnu rotaciju svih kredencijala, API ključeva i session tokena.

Maliciozna zavisnost plain-crypto-js@4.2.1 kreirana je i distribuirana neposredno pre incidenta, a napad je omogućen zahvaljujući post-install skripti koja omogućava izvršavanje koda bez dalje interakcije korisnika. Sigurnosni eksperti savetuju programere i DevOps timove da odmah provere svoje projekte i dependency fajlove, uklone ugrožene verzije Axios-a i vrate se na prethodne stabilne build-ove.

Ovaj incident osvetljava ozbiljne rizike u lancu snabdevanja softverskih paketa, posebno za open-source projekte sa širokom bazom korisnika. Raniji događaji u kripto industriji pokazali su kako supply chain napadi mogu eskalirati – na primer, u januaru je zabeležen slučaj gde su „stotine“ Ethereum novčanika ispražnjene kroz kompromitaciju sličnog tipa, sa ukupnom štetom od oko 7 miliona dolara.

Ekosistem otvorenog koda ostaje posebno ranjiv na ovakve napade, jer jedan kompromitovani paket može uticati na hiljade aplikacija i korisnika. Za razvojne timove i platforme koje koriste Axios, preporučuje se detaljan audit sistema, hitna zamena svih osetljivih kredencijala i kontinuirano praćenje bezbednosnih izveštaja kako bi se minimizovao rizik od sličnih incidenata u budućnosti.

Source: https://cointelegraph.com/news/axios-npm-supply-chain-attack-malicious-dependency

In this article:
Click to comment

Leave a Reply

Your email address will not be published. Required fields are marked *

Možda će vas interesovati

Biz Srbija

Aman preuzima vlasništvo nad trgovinskim lancem DIS u procesu akvizicije

Ulazak Aman-a u vlasničku strukturu DIS-a menja konkurentsku sliku maloprodajnog sektora Srbije, detalji transakcije još nisu objavljeni

3 days ago

Hi-Tech

March Madness 2026: gde i kako pratiti sve utakmice NCAA košarkaških turnira

Kompletan vodič za praćenje muškog i ženskog NCAA turnira 2026. uz detalje o platformama i terminima

March 17, 2026

Biz Srbija

Zaposleni u Srbiji ostvaruju 110 odsto uvećanje zarade za rad na praznike

U maju četiri neradna dana, a za rad na praznik minimalno 110 odsto veća dnevnica, bez zakonskih kazni za poslodavce

March 24, 2026

Biz Srbija

Pošta Srbije uvodi naplatu zastupanja na carini za male pošiljke iz Kine od 23. februara

Dodatni troškovi od 200 dinara po paketu i 20% PDV-a povećavaju cenu robe sa AliExpress-a, dok su neregistrovani paketi iz Mađarske izuzeti

March 15, 2026