Due versioni dannose di Axios su npm hanno indotto gli sviluppatori a cambiare le credenziali e a considerare i sistemi interessati come compromessi, dopo che un attacco alla catena di approvvigionamento ha infettato la popolare libreria client HTTP per JavaScript.
La compromissione è stata segnalata per la prima volta dalla società di sicurezza informatica Socket, la quale ha affermato che axios@1.14.1 e axios@0.30.4 sono stati modificati per incorporare plain-crypto-js@4.2.1, una dipendenza dannosa che veniva eseguita automaticamente durante l'installazione prima che le versioni fossero rimosse da npm.
Secondo la società di sicurezza OX Security, il codice alterato può fornire agli aggressori l'accesso remoto ai dispositivi infetti, consentendo loro di rubare dati sensibili quali credenziali di accesso, chiavi API e informazioni sui portafogli crittografici.
L'incidente dimostra come un singolo componente open-source compromesso possa potenzialmente propagarsi a migliaia di applicazioni che ne dipendono, esponendo non solo gli sviluppatori ma anche le piattaforme e gli utenti connessi al sistema.
Security companies urge key rotation, system audits
OX Security ha avvertito gli sviluppatori che hanno installato axios@1.14.1 o axios@0.30.4 di considerare i propri sistemi completamente compromessi e di procedere immediatamente alla rotazione delle credenziali, comprese le chiavi API e i token di sessione.
Socket ha affermato che le versioni compromesse di Axios sono state modificate per includere una dipendenza da plain-crypto-js@4.2.1, un pacchetto pubblicato poco prima dell'incidente e successivamente identificato come dannoso.
Correlato: Estensione browser di Trust Wallet messa offline da un “bug” del Chrome Store: CEO
L'azienda ha dichiarato che la dipendenza era configurata per essere eseguita automaticamente durante l'installazione tramite uno script post-installazione, consentendo agli hacker di eseguire codice sui sistemi di destinazione senza ulteriore interazione da parte dell'utente.
Socket ha consigliato agli sviluppatori di controllare i propri progetti e i file delle dipendenze alla ricerca delle versioni di Axios interessate e del pacchetto associato “plain-crypto-js@4.2.1”, e di rimuovere o ripristinare immediatamente eventuali versioni compromesse.
Earlier crypto incidents highlight supply chain risks
Precedenti incidenti nel settore delle criptovalute hanno dimostrato come le violazioni della catena di approvvigionamento possano degenerare dal furto di informazioni degli sviluppatori fino alla perdita di fondi dai portafogli degli utenti.
Il 3 gennaio, l’analista on-chain ZachXBT ha riferito che “centinaia” di portafogli su reti compatibili con la Ethereum Virtual Machine sono stati svuotati nel corso di un attacco su larga scala che ha sottratto piccole somme a ciascuna vittima.
Il ricercatore di sicurezza informatica Vladimir S. ha affermato che l'incidente era potenzialmente collegato a una violazione avvenuta a dicembre che ha colpito Trust Wallet, causando perdite per circa 7 milioni di dollari su oltre 2.500 portafogli.
Trust Wallet ha successivamente dichiarato che la violazione potrebbe aver avuto origine da una compromissione della catena di approvvigionamento che ha coinvolto i pacchetti npm utilizzati nel suo flusso di lavoro di sviluppo.
