Les versions axios@1.14.1 et axios@0.30.4 ont été compromises.
(github.com/axios)Aujourd'hui, si vous avez installé axios@1.14.1 ou axios@0.30.4 via la commande npm install, un malware a pu être installé.
Il s'agit apparemment d'une bibliothèque téléchargée plus de 100 millions de fois par semaine, donc l'impact risque d'être assez important.
Après avoir recherché axios, je n'ai pas vu de billet connexe sur GeekNews, donc je publie ceci ; s'il s'avère que c'est un doublon, je le supprimerai.
Lien connexe : https://stepsecurity.io/blog/…
6 commentaires
Avec le code source de Claude Code qui a fuité cette fois, on a aussi appris qu’ils utilisent axios chez Claude Code.
Une légendaire attaque de la chaîne d’approvisionnement.
Y a-t-il un moyen de vérifier si cela a été compromis ?
Axios a été compromis sur NPM et un cheval de Troie d’accès à distance a été distribué Si vous consultez cette publication, vous pourrez vérifier le chemin d’enregistrement des fichiers selon l’OS pour contrôler cela.
J’ai vérifié en urgence le code du service, et heureusement nous n’utilisons pas la dernière version. Nous sommes passés à côté des dégâts par hasard, c’est un soulagement. J’espère que personne n’a été touché.
Le sujet étant important, une version résumée par l’IA a également été publiée séparément. Veuillez aussi consulter les détails ci-dessous.
Axios compromis sur NPM, avec diffusion d’un cheval de Troie d’accès à distance