npm install的时候,你通常去倒杯水。
这次axios被黑,恶意代码零行在axios里——在一个叫plain-crypto-js的假依赖里,axios只是把它列进了package.json。安装开始后2秒,payload已经连回了攻击者服务器。npm那个转圈的光标还在转。
事后检查node_modules?干干净净的,自毁了。
100million周下载量,也不知道多少台机器在那两天运行了npm install。
https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan
这次axios被黑,恶意代码零行在axios里——在一个叫plain-crypto-js的假依赖里,axios只是把它列进了package.json。安装开始后2秒,payload已经连回了攻击者服务器。npm那个转圈的光标还在转。
事后检查node_modules?干干净净的,自毁了。
100million周下载量,也不知道多少台机器在那两天运行了npm install。
https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan
axios Compromised on npm - Malicious Versions Drop Remote Access Trojan - StepSecurity
Hijacked maintainer account used to publish poisoned axios releases including 1.14.1 and 0.30.4. The attacker injected a hidden dependency that drops a cross platform RAT. We are actively investigating and will update this post with a full technical analysis.
