热门库 Axios 因 npm 维护者令牌被盗而遭到入侵,暴露了一个关键安全漏洞:遗留的身份验证机制绕过了现代 OIDC 保护。
📝 详细摘要
Axios npm 包遭到入侵,攻击者利用窃取的长期维护者令牌发布了包含远程访问木马的恶意版本。尽管该项目采用了 OIDC 和 SLSA 等现代安全措施,但攻击之所以成功,是因为遗留的 NPM_TOKEN 仍然处于活动状态,且 npm 注册表优先于 OIDC 凭据使用该令牌。这是七个月内发生的第三起重大 npm 供应链入侵事件,凸显了个人维护者账户的持续脆弱性,以及未能完全弃用遗留身份验证方法的问题。本文为团队提供了可操作的补救措施,以评估暴露风险并加固 CI/CD 流水线。
💡 主要观点
- 遗留身份验证机制造成了关键的安全绕过漏洞。 即使项目实施了 OIDC 和 SLSA,遗留 npm 令牌的持续存在仍允许攻击者绕过现代安全控制,因为注册表默认优先使用这些令牌。
💬 文章金句
- 攻击者根本不需要破解 OIDC。他们直接绕过了它。一个遗留令牌作为并行验证路径存在,而 npm 自身的层级结构默认优先选择了它。
- 凭据泄露是 npm 入侵事件中反复出现的主题……这是结构性的问题。
- 首要任务是进行影响评估:哪些构建版本和下游消费者引入了受损的软件包?
📊 文章信息
AI 评分:88
来源:VentureBeat
作者:Louis Columbus
分类:软件编程
语言:英文
阅读时间:6 分钟
字数:1415
标签: npm, 供应链安全, Axios, 网络安全, CI/CD