安全公司Socket先发现端倪。Axios@1.14.1和axios@0.30.4这两个npm包版本被黑客动了手脚。它们拉进了恶意依赖plain-crypto-js@4.2.1。安装时,这玩意儿自动跑post-install脚本。黑客就这样钻空子,远程操控你的机器。
OX Security也跳出来喊话。那些装了这两个Axios版本的系统,全当已失守。赶紧旋转凭证。API密钥、会话令牌,一个不落。恶意代码能偷登录信息。还能卷走加密钱包里的私钥。想想看,开发者电脑中招,整个项目就悬了。
Axios是JavaScript圈子里的HTTP客户端大热门。成千上万应用靠它。供应链攻击一波带走一片。Socket建议开发者翻dependency文件。查查有没有Axios这两个版本。看到plain-crypto-js@4.2.1,直接删。回滚到干净版。npm仓库已经把污染包撤了。可安装过的系统,还得自己动手清理。
加密圈子对这类事儿不陌生。Trust Wallet浏览器扩展前阵子直接下架。CEO说是Chrome商店bug。结果呢,研究员Vladimir S.挖出根源。12月的一次npm包供应链泄露。超过2500个钱包遭殃。损失约700万美元。全是EVM链上的小额抽干。ZachXBT1月3日爆料,数百钱包就这样没了。
今天BTC报$66,620(24h -1.44%)。ETH$2,039(24h -1.39%)。行情小跌。开发者却睡不着。开源包天天用。黑客专挑供应链下手。Trust Wallet那事儿,开发流程里的npm包就是突破口。钱包用户直接买单。
我采访过不少项目方。开源依赖是双刃剑。省事儿。风险也大。Axios事件提醒大家,装包前多瞅两眼。安全扫描工具别闲着。像Socket这样的服务,得养成习惯。crypto项目尤其得警惕。钱包密钥一丢,链上资产秒蒸发。
回想去年几起大案。npm仓库频发警报。黑客发假包。钓开发者上钩。Axios这次来得快。去得也急。仓库撤包了。用户系统呢?自生自灭。OX Security说得直白:全盘重置。包括那些闲置密钥。
开发者社区反应神速。GitHub issue刷屏。有人贴出审计脚本。教怎么查post-install钩子。plain-crypto-js@4.2.1上线时间对得上。黑客节奏精准。安装即执行。零交互。太阴了。
加密行业供应链痛点老生常谈。DeFi协议用第三方库。钱包App嵌开源组件。一环出事儿,全链条抖。Trust Wallet事件后,他们改了开发流程。npm包审核加严。效果如何?这次Axios又来一出。证明漏洞补得慢。
我建议项目方建白名单。依赖只用熟门熟路的。自动化审计跑起来。密钥轮换周期拉短。一个月一换。别等中招哭。开源世界水深。crypto玩家更得长眼。
Axios团队还没发声。npm官方表态中。开发者别等。动手吧。系统审计。密钥旋转。回滚包。crypto钱包多备份。私钥离线存。行情跌归跌。安全第一位。黑客可不管你K线红绿。