Babala ng Slow Fog sa Malisyosong Bersyon ng Axios
Nagbigay ng babala ang Slow Fog tungkol sa mga malisyosong bersyon ng Axios na nagdadala ng plain-crypto-js malware, na naglalantad sa mga crypto developer sa cross-platform RATs at nakaw na kredensyal sa pamamagitan ng npm.
Impormasyon Tungkol sa Kompromiso
Ang blockchain security firm na Slow Fog ay naglabas ng isang agarang paalala sa seguridad matapos ang mga bagong inilabas na @axios/axios@1.14.1 at @axios/axios@0.3.4 na nagdala ng isang malisyosong dependency, plain-crypto-js, na ginawang armas ng supply chain laban sa mga crypto developer gamit ang isa sa mga pinaka ginagamit na HTTP client ng JavaScript.
Ang Axios ay may higit sa 80 milyong lingguhang pag-download sa npm, na nangangahulugang kahit isang panandaliang kompromiso ay maaaring magdulot ng epekto sa mga wallet backend, trading bots, exchanges, at DeFi infrastructure na nakabatay sa Node.js.
Mga Rekomendasyon ng Slow Fog
Sa kanyang advisory, nagbabala ang Slow Fog na “ang mga gumagamit na nag-install ng @axios/axios@1.14.1 sa pamamagitan ng npm install -g ay maaaring ma-expose,” na nagrekomenda ng agarang pagbabago ng kredensyal at masusing pagsisiyasat sa host-side para sa mga palatandaan ng kompromiso.
Detalye ng Atake
Ang atake ay nakasalalay sa isang pekeng cryptography package, plain-crypto-js, na tahimik na idinadagdag bilang bagong dependency at ginagamit lamang upang isagawa ang isang obfuscated postinstall script na naglalabas ng cross-platform remote access trojan na nakatuon sa mga Windows, macOS, at Linux system.
Ipinaliwanag ng security firm na StepSecurity na “walang kahit isang linya ng malisyosong code ang nakapaloob sa Axios mismo,” at sa halip ay “parehong nag-iinject ng pekeng dependency, plain-crypto-js, na ang tanging layunin ay patakbuhin ang isang postinstall script na nag-de-deploy ng cross-platform remote access trojan (RAT).”
Coordinated Supply Chain Attack
Napansin ng research team ng Socket na ang malisyosong plain-crypto-js package ay inilathala ilang minuto bago ang compromised Axios release, na tinawag itong “coordinated supply chain attack” laban sa JavaScript ecosystem.
Ayon sa StepSecurity, ang mga malisyosong bersyon ng Axios ay naipadala gamit ang mga nakaw na kredensyal ng npm na pagmamay-ari ng pangunahing tagapangasiwa na “jasonsaayman”, na nagpapahintulot sa mga umaatake na makaiwas sa karaniwang daloy ng release ng proyekto sa GitHub.
Mga Hakbang na Kinuha
Inalis na ng npm ang mga malisyosong bersyon at ibinalik ang Axios resolution pabalik sa 1.14.0, ngunit ang anumang kapaligiran na kumuha ng 1.14.1 o 0.3.4 sa panahon ng atake ay nananatiling nasa panganib hanggang sa ma-rotate ang mga sikreto at ma-rebuild ang mga sistema.
Mga Nakaraang Insidente
Ang kompromiso ay umaabot sa mga naunang insidente ng npm na tuwirang nag-target sa mga crypto user, kabilang ang isang kampanya noong 2025 kung saan 18 tanyag na package tulad ng chalk at debug ay tahimik na pinalitan ang mga wallet address upang magnakaw ng pondo, na nag-udyok kay Ledger CTO Charles Guillemet na magbigay ng babala na “ang mga apektadong package ay na-download na ng higit sa 1 bilyong beses.”
Naidokumento din ng mga mananaliksik ang npm malware na nagnanakaw ng mga susi mula sa Ethereum, XRP, at Solana wallets, at tinatayang ng SlowMist na ang mga crypto hacks at pandaraya — kabilang ang mga backdoored packages at AI-assisted supply chain attacks — ay nagdulot ng higit sa $2.3 bilyon na pagkalugi sa unang kalahati ng 2025 lamang.
Payo ng Slow Fog
Sa ngayon, ang payo ng Slow Fog ay tuwid: ibaba ang Axios sa 1.14.0, suriin ang mga dependency para sa anumang bakas ng plain-crypto-js o openclaw, at ipagpalagay na ang anumang kredensyal na nahawakan ng mga kapaligirang iyon ay compromised.
Mga Panganib sa Kinabukasan
Sa isang naunang kwento ng crypto.news tungkol sa mga atake sa supply chain ng JavaScript, nagbigay ng babala si Guillemet ng Ledger na ang mga compromised npm package na may higit sa 2 bilyong lingguhang pag-download ay nagdudulot ng sistematikong panganib sa mga dApps at wallets na nakabatay sa Node.js.
Isang kwento ang nagdetalye kung paano nagtanim ang Lazarus Group ng Hilagang Korea ng mga malisyosong npm package upang i-backdoor ang mga kapaligiran ng developer at targetin ang mga gumagamit ng Solana at Exodus wallet. Isang pangatlong kwento ng crypto.news tungkol sa susunod na henerasyon ng malware ang nagpakita kung paano ang mga backdoor supply chain attack sa pamamagitan ng npm at mga murang AI tools ay tumulong sa mga kriminal na kontrolin ang higit sa 4,200 na makina ng developer at nag-ambag sa bilyun-bilyong dolyar sa pagkalugi sa crypto.
