CoinFeed
Đăng nhập
Ethereum
Ethereum·All

lúc 12:04 31 tháng 3, 2026

Axios npm bị tấn công chuỗi cung ứng: Hãy đổi khóa API ngay

Axios npm bị tấn công chuỗi cung ứng: Hãy đổi khóa API ngay
Quick Take
  • Cảnh báo bảo mật đã được phát hành cho thư viện HTTP client JavaScript phổ biến Axios sau một cuộc tấn công chuỗi cung ứng.
  • Các phiên bản Axios 1.14.1 và 0.30.4 được xác định là đã bị xâm nhập và chứa mã độc.
  • Các nhà phát triển và người dùng được khuyến cáo lập tức thay đổi (rotate) tất cả các khóa API, thông tin đăng nhập và mã thông báo phiên làm việc (session token) được sử dụng trong các môi trường bị ảnh hưởng.

Phát hiện các bản phát hành độc hại

Các công ty an ninh mạng SocketOX Security gần đây đã gắn cờ hai bản phát hành bị xâm nhập của gói npm Axios được sử dụng rộng rãi. Các phiên bản liên quan, axios@1.14.1axios@0.30.4, đã bị sửa đổi để bao gồm một phần phụ thuộc độc hại có tên là plain-crypto-js@4.2.1. Phần phụ thuộc này được xuất bản ngay trước cuộc tấn công và được thiết kế để tự động thực thi trong quá trình cài đặt thông qua một đoạn mã chạy sau cài đặt (post-install script).

Theo OX Security, mã bị thay đổi cho phép kẻ tấn công truy cập từ xa vào các thiết bị bị nhiễm. Quyền truy cập trái phép này cho phép đánh cắp dữ liệu nhạy cảm, bao gồm:

  • Thông tin đăng nhập và mã thông báo phiên
  • Khóa API được sử dụng cho các dịch vụ khác nhau
  • Thông tin ví tiền điện tử

Tác động và khuyến nghị cho các nhà phát triển

Sự cố này làm nổi bật lỗ hổng của hệ sinh thái mã nguồn mở, nơi một thành phần bị xâm nhập duy nhất có thể gây ảnh hưởng đến hàng nghìn ứng dụng hạ nguồn. Socket lưu ý rằng vì mã độc chạy mà không cần tương tác bổ sung từ người dùng, nên bất kỳ hệ thống nào đã tải các phiên bản Axios cụ thể này đều phải được coi là đã bị xâm nhập hoàn toàn.

Các chuyên gia bảo mật khuyên các nhà phát triển nên xem xét lại các tệp phụ thuộc của dự án ngay lập tức. Nếu tìm thấy các phiên bản bị ảnh hưởng, chúng nên được xóa bỏ hoặc quay trở lại phiên bản an toàn đã biết. Hơn nữa, tất cả các thông tin xác thực được lưu trữ hoặc truy cập bởi các hệ thống đó phải được thay đổi để ngăn chặn việc bị khai thác thêm.

Lịch sử lỗ hổng chuỗi cung ứng

Vụ vi phạm này tuân theo một mô hình tấn công chuỗi cung ứng nhắm vào lĩnh vực tiền điện tử. Vào ngày 3 tháng 1, nhà điều tra on-chain ZachXBT đã báo cáo rằng hàng trăm ví trên các mạng tương thích với Máy ảo Ethereum (EVM) đã bị rút sạch tiền. Các nhà nghiên cứu như Vladimir S. đã gợi ý rằng những sự cố này có thể liên quan đến một vụ vi phạm vào tháng 12 ảnh hưởng đến Trust Wallet.

Sự cố xâm nhập trước đó, dẫn đến tổn thất khoảng 7 triệu USD trên hơn 2.500 ví, cũng được cho là bắt nguồn từ sự thỏa hiệp chuỗi cung ứng liên quan đến các gói npm. Những sự kiện này nhấn mạnh nhu cầu cấp thiết về việc kiểm tra bảo mật nghiêm ngặt đối với các thư viện của bên thứ ba được sử dụng trong các ứng dụng tài chính và blockchain.

Phản ứng thị trường thế nào?

0%Long/Short0%

commentCount

commentLogin

commentEmpty

commentEmptySubtitle