Пакет основних залежностей npm axios версії 1.14.1 зазнав атаки на ланцюг постачання та був заражений шкідливим кодом

GateNews

2026-03-31 04:21:50

Оновлення Gate News: 31 березня Socket AI опублікувала повідомлення про безпекову загрозу. У екосистемі npm активну атакy ланцюга постачання спрямовано на ключовий залежний пакет axios; його останню версію axios@1.14.1 було ін’єковано зловмисним пакетом plain-crypto-js@4.2.1, який раніше ніколи не існував. Socket AI провела аналіз і підтвердила, що цей пакет є шкідливим програмним забезпеченням. Кількість завантажень axios щотижня перевищує 100 млн разів, і всі проєкти, які отримують останню версію, стикаються з потенційним ризиком вторгнення. Засновник Socket AI Феросс радить усім користувачам axios негайно зафіксувати версію та перевірити файл блокування, не переходячи на найновішу версію.

Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до Застереження.

Прокоментувати

0/400

Немає коментарів