资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Axios作为最受欢迎的JavaScript库之一,可能已遭入侵并涉及一起加密货币钱包攻击。npm软件包攻击正变得越来越普遍,直接威胁着项目、开发者和终端用户。
Axios npm攻击事件
一个Axios npm软件包被发布至官方JavaScript库,并在几小时后被撤回。链上安全专家拦截了此次持续约三小时的攻击。
攻击是如何发生的?
攻击通过npm软件包维护者的凭证入侵实现。受影响的软件包被确认为axios@1.14.1与axios@0.30.4。研究人员仍在核查账户被盗的迹象。
安全机构是最早发现此问题的团队之一。两个恶意版本的Axios HTTP客户端库通过被盗的Axios核心维护者凭证发布,绕过了GitHub的正常发布流程。
据分析,这是针对广泛使用的十大npm软件包中最复杂的一次攻击。恶意版本注入了一个未在axios源代码中导入的新依赖项。该依赖项会在所有操作系统上运行安装后脚本。
用户使用受感染的npm后,客户端会被植入远程访问木马投放器。该恶意软件还会删除自身并用干净的版本替换可疑文件以规避检测。
哪些类型的项目受到影响?
这些npm软件包属于每周下载量高达数千万次的热门工具。但目前尚未出现加密货币异常转移的报告。此前类似的npm攻击仅造成约一千美元的小额代币损失。
研究人员还发现了另外两个以相同方式投放负载的恶意软件包。此次攻击距离另一次代码注入事件仅相隔一周。
在攻击持续期间,未发现相关项目受影响或加密货币被盗的报告。但已有警告指出,无论是通过凭证窃取还是未授权发布,npm攻击可能将趋于常态化。
行业影响与警示
受影响的软件包不仅限于特定类型项目,任何关联加密货币钱包的组件都可能遭受威胁。此类事件可能削弱整个开源生态系统的信任度,行业呼吁建立更安全的软件发布路径。
人工智能代理的自动化包下载行为可能加速威胁传播。虽然对加密货币钱包的实际影响未必立即显现,但用户钱包数据仍面临潜在风险。
