ไลบรารี Axios ถูกโจมตีผ่านห่วงโซ่อุปทาน โดยแฮกเกอร์ขโมยโทเค็น npm และแทรกมัลแวร์ ส่งผลกระทบต่อสภาพแวดล้อมบนคลาวด์ประมาณ 80%

ข่าว Gate News เมื่อวันที่ 2 เมษายน ไลบรารีไคลเอนต์ HTTP ที่ใช้ JavaScript ได้รับความนิยมสูงสุดอย่าง Axios ถูกโจมตีแบบห่วงโซ่อุปทาน ผู้โจมตีขโมยโทเค็นการเข้าถึง npm ของผู้ดูแลหลักของ Axios และใช้โทเค็นดังกล่าวเพื่อเผยแพร่เวอร์ชันที่เป็นอันตรายสองเวอร์ชัน ซึ่งบรรจุมัลแวร์แบบแรนซัมแวร์สำหรับการเข้าถึงระยะไกลข้ามแพลตฟอร์ม (RAT) (axios@1.14.1 และ axios@0.30.4) โดยมีเป้าหมายครอบคลุมระบบ macOS, Windows และ Linux แพ็กเกจที่เป็นอันตรายยังคงอยู่บนรีจิสทรีของ npm ประมาณ 3 ชั่วโมงก่อนถูกนำออก จากข้อมูลของบริษัทความปลอดภัย Wiz ปริมาณการดาวน์โหลดของ Axios รายสัปดาห์มากกว่า 100 ล้านครั้ง และมีอยู่ในสภาพแวดล้อมบนคลาวด์และโค้ดประมาณ 80% บริษัทความปลอดภัย Huntress ตรวจพบการติดเชื้อชุดแรกภายใน 89 วินาทีหลังแพ็กเกจที่เป็นอันตรายถูกอัปโหลด และยืนยันได้อย่างน้อย 135 ระบบถูกบุกรุกในช่วงเวลาที่ยังเปิดให้เกิดการเข้าถึง (exposure window) ที่น่าสังเกตคือ ก่อนหน้านี้โปรเจกต์ Axios ได้มีการนำมาตรการความปลอดภัยสมัยใหม่ เช่น กลไกการเผยแพร่ที่เชื่อถือได้ด้วย OIDC และหลักฐานการตรวจสอบย้อนกลับ SLSA มาใช้แล้ว แต่ผู้โจมตีสามารถหลบเลี่ยงการป้องกันเหล่านี้ได้อย่างสมบูรณ์ การสืบสวนพบว่า ในขณะที่โปรเจกต์มีการตั้งค่า OIDC ก็ยังคงเก็บรักษา NPM_TOKEN แบบดั้งเดิมที่มีอายุใช้งานยาวนานไว้ด้วย และเมื่อมีการอยู่ร่วมกันทั้งสองอย่าง npm จะให้ความสำคัญกับโทเค็นแบบดั้งเดิมเป็นค่าเริ่มต้น ทำให้ผู้โจมตีไม่จำเป็นต้องเจาะผ่าน OIDC เพื่อทำการเผยแพร่ได้สำเร็จ