Paquete NPM de Axios Comprometido en Ataque de Cadena de Suministro
Lanzamientos maliciosos de Axios npm provocaron advertencias para que los desarrolladores rotaran claves tras un ataque a la cadena de suministro.Resumen
Dos lanzamientos maliciosos del paquete npm Axios, [email protected] y [email protected], fueron comprometidos en un ataque a la cadena de suministro, lo que llevó a las firmas de seguridad a instar a los desarrolladores a tratar los sistemas afectados como totalmente comprometidos y a rotar inmediatamente todas las credenciales, incluidas las claves API y los tokens de sesión. La vulneración implicó modificar los paquetes para incluir una dependencia maliciosa, [email protected], que se ejecutaba automáticamente durante la instalación a través de un script post-instalación, permitiendo potencialmente a los atacantes obtener acceso remoto para robar datos sensibles como credenciales de inicio de sesión e información de billeteras de criptomonedas. Este incidente subraya el riesgo significativo que representan los componentes únicos de código abierto comprometidos que se propagan a través de numerosas aplicaciones.
(Fuente:Cointelegraph)