热门 NPM 包 axios 被发现存在严重的供应链攻击,需立即锁定版本以避免恶意代码执行。
📝 详细摘要
Simon Willison 指出,广泛使用的 NPM 包 axios 遭遇了严重的供应链攻击。此次攻击涉及一个名为 'plain-crypto-js' 的恶意依赖项,它充当释放器/加载器(dropper/loader),用于执行 shell 命令并规避检测。强烈建议开发者将 axios 版本锁定在已知安全版本,并立即审计锁文件(lockfiles),以防止系统受损。
📊 文章信息
AI 评分:89
来源:Simon Willison(@simonw)
作者:Simon Willison
分类:软件编程
语言:英文
阅读时间:1 分钟
字数:165
标签: axios, NPM, 供应链攻击, 安全, 网络安全