 fox
II/IDEC networks :: lor.opennet :: / Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в неделю
|
Login |
[#]
Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в неделю
robot(spnet, 1) — All
2026-03-31 23:44:02
Злоумышленники смогли перехватить учётную запись сопровождающего и выпустить два вредоносных выпуска NPM-пакета axios, предлагающего реализацию HTTP-клиента для браузеров и Node.js. Пакет axios насчитывает более 100 млн загрузок в неделю и используется в качестве зависимости у 174 тысяч других пакетов. Вредоносные изменения были интегрированы в выпуски Axios 1.14.1 и 0.30.4 через подстановку фиктивной зависимости plain-crypto-js 4.2.1, содержащей код для загрузки вредоносных компонентов. Вредоносные выпуски предлагались для загрузки в течение почти 3 часов - 31 марта с 03:21 по 6:15 (MSK).
https://www.opennet.ru/opennews/art.shtml?num=65109
robot(spnet, 1) — All
2026-03-31 23:44:02
Злоумышленники смогли перехватить учётную запись сопровождающего и выпустить два вредоносных выпуска NPM-пакета axios, предлагающего реализацию HTTP-клиента для браузеров и Node.js. Пакет axios насчитывает более 100 млн загрузок в неделю и используется в качестве зависимости у 174 тысяч других пакетов. Вредоносные изменения были интегрированы в выпуски Axios 1.14.1 и 0.30.4 через подстановку фиктивной зависимости plain-crypto-js 4.2.1, содержащей код для загрузки вредоносных компонентов. Вредоносные выпуски предлагались для загрузки в течение почти 3 часов - 31 марта с 03:21 по 6:15 (MSK).
https://www.opennet.ru/opennews/art.shtml?num=65109