Kilka dni temu konto jednego z deweloperów odpowiedzialnych za utrzymanie popularnej biblioteki Axios zostało przejęte. W wyniku tego ataku w repozytorium NPM opublikowano zainfekowane wersje biblioteki: 1.14.1 oraz 0.30.4. Złośliwy kod (malware) został wstrzyknięty bezpośrednio do plików wykonywalnych, co mogło prowadzić do kradzieży danych wrażliwych lub przejęcia kontroli nad środowiskiem uruchomieniowym aplikacji korzystających z tych wydań.
Jeśli zarządzasz projektami opartymi na Node.js, powinieneś niezwłocznie zweryfikować używane wersje zależności. Za pomocą poniższych komend możesz sprawdzić, czy problem dotyczy Twojego projektu:
shell
skopiuj kod
# npm
grep -E '"axios"' package-lock.json | grep -E '1\.14\.1|0\.30\.4'
# yarn
grep -E 'axios@' yarn.lock | grep -E '1\.14\.1|0\.30\.4'
# bun (text lockfile, v1.1+)
grep -E 'axios' bun.lock | grep -E '1\.14\.1|0\.30\.4'
Sprawdź również, czy nie została zainstalowana złośliwa biblioteka
npm ls plain-crypto-js
# or
find node_modules -name "plain-crypto-js" -type d