Thư viện Axios bị tấn công thông qua chuỗi cung ứng, tin tặc đánh cắp token npm và cài mã độc, ảnh hưởng đến khoảng 80% môi trường đám mây

Tin tức Gate News, ngày 2 tháng 4, thư viện HTTP khách hàng JavaScript phổ biến nhất Axios đã bị tấn công chuỗi cung ứng. Kẻ tấn công đã đánh cắp token truy cập npm của người duy trì chính Axios, sử dụng token này để phát hành hai phiên bản độc hại có chứa mã độc truy cập từ xa đa nền tảng (RAT) (axios@1.14.1 và axios@0.30.4), nhằm vào các hệ thống macOS, Windows và Linux. Các gói độc hại tồn tại trên sổ đăng ký npm khoảng 3 giờ trước khi bị gỡ bỏ. Theo dữ liệu của công ty an ninh Wiz, Axios có hơn 100 triệu lượt tải mỗi tuần, hiện diện trong khoảng 80% môi trường đám mây và mã nguồn. Công ty an ninh Huntress đã phát hiện những ca nhiễm đầu tiên chỉ sau 89 giây kể từ khi các gói độc hại được phát hành, và trong giai đoạn cửa sổ phơi bày đã xác nhận ít nhất 135 hệ thống bị xâm nhập. Điều đáng chú ý là dự án Axios trước đó đã triển khai các cơ chế bảo mật hiện đại như cơ chế phát hành đáng tin cậy OIDC và bằng chứng truy xuất nguồn gốc SLSA, nhưng kẻ tấn công đã hoàn toàn vượt qua được các hàng rào này. Cuộc điều tra cho thấy, trong khi dự án cấu hình OIDC thì vẫn giữ lại NPM_TOKEN truyền thống có hiệu lực lâu dài, và khi hai cơ chế cùng tồn tại, npm mặc định ưu tiên sử dụng token truyền thống, khiến kẻ tấn công không cần vượt qua OIDC vẫn có thể hoàn tất việc phát hành.