axios@1.14.1 und axios@0.30.4 wurden kompromittiert.
(github.com/axios)Wenn heute über den Befehl npm install die Versionen axios@1.14.1 und axios@0.30.4
aus dem obigen Satz installiert wurden, könnte Schadsoftware mitinstalliert worden sein.
Es heißt, dass diese Bibliothek mehr als 100 Millionen Mal pro Woche heruntergeladen wird, daher dürften die Auswirkungen ziemlich groß sein.
Ich habe nach axios gesucht und bei GeekNews keinen entsprechenden Beitrag gesehen, daher poste ich das hier. Falls es sich als Duplikat herausstellt, werde ich den Beitrag entfernen.
Zugehöriger Link: https://stepsecurity.io/blog/…
6 Kommentare
Durch den diesmal geleakten Claude-Code-Quellcode wurde bekannt, dass man auch dort axios verwendet.
Das ist wirklich ein legendärer Supply-Chain-Angriff.
Gibt es eine Möglichkeit zu prüfen, ob davon betroffen ist?
Wenn Sie sich den entsprechenden Beitrag ansehen, können Sie es überprüfen, indem Sie je nach Betriebssystem den Dateispeicherpfad kontrollieren.
Axios wurde auf NPM kompromittiert und ein Remote-Access-Trojaner verteilt
Ich habe gerade schnell den Service-Code geprüft und festgestellt, dass wir nicht die neueste Version verwenden. Zum Glück sind wir dadurch zufällig verschont geblieben. Ich hoffe, dass niemand von euch betroffen ist.
Das Thema ist wichtig, daher habe ich auch eine von einer KI zusammengefasste Version separat eingestellt. Bitte beachten Sie auch die Details.
Axios wurde auf NPM kompromittiert und ein Trojaner für Fernzugriff wurde verteilt