Zwei bösartige Axios npm-Versionen haben Warnungen für Entwickler ausgelöst, ihre Anmeldeinformationen zu rotieren und betroffene Systeme als kompromittiert zu behandeln, nachdem ein Angriff auf die Lieferkette die beliebte JavaScript-HTTP-Client-Bibliothek vergiftet hat.

Der Kompromiss wurde erstmals von dem Cybersicherheitsunternehmen Socket gemeldet, das sagte, dass axios@1.14.1 und axios@0.30.4 so geändert wurden, dass sie plain-crypto-js@4.2.1 ziehen, eine bösartige Abhängigkeit, die automatisch während der Installation ausgeführt wurde, bevor die Versionen von npm entfernt wurden.

Laut dem Sicherheitsunternehmen OX Security kann der veränderte Code Angreifern den Fernzugriff auf infizierte Geräte ermöglichen, sodass sie sensible Daten wie Anmeldeinformationen, API-Schlüssel und Informationen zu Krypto-Wallets stehlen können.

Der Vorfall zeigt, wie eine einzige kompromittierte Open-Source-Komponente potenziell Auswirkungen auf Tausende von Anwendungen haben kann, die darauf angewiesen sind, und nicht nur Entwickler, sondern auch Plattformen und Benutzer, die mit dem System verbunden sind, exponiert.

Sicherheitsunternehmen drängen auf Schlüsselrotation und Systemaudits

OX Security warnte Entwickler, die axios@1.14.1 oder axios@0.30.4 installiert hatten, ihre Systeme als vollständig kompromittiert zu betrachten und sofort die Zugangsdaten, einschließlich API-Schlüssel und Sitzungstoken, zu rotieren.

Socket sagte, dass die kompromittierten Axios-Versionen so modifiziert wurden, dass sie eine Abhängigkeit von plain-crypto-js@4.2.1 beinhalteten, einem Paket, das kurz vor dem Vorfall veröffentlicht wurde und später als bösartig identifiziert wurde.

Das Unternehmen sagte, die Abhängigkeit sei so konfiguriert, dass sie während der Installation automatisch über ein Post-Installations-Skript ausgeführt wird, wodurch Angreifer Code auf Zielsystemen ohne zusätzliche Benutzerinteraktion ausführen können.

Socket riet Entwicklern, ihre Projekte und Abhängigkeitsdateien auf die betroffenen Axios-Versionen und das zugehörige Paket plain-crypto-js@4.2.1 zu überprüfen und kompromittierte Versionen sofort zu entfernen oder auf eine frühere Version zurückzusetzen.

Frühere Krypto-Vorfälle heben die Risiken der Lieferkette hervor.

Frühere Krypto-Vorfälle haben gezeigt, wie Lieferkettenverletzungen von gestohlenen Entwicklerinformationen zu Verlusten bei benutzerseitigen Geldbörsen eskalieren können.

Am 3. Januar berichtete der On-Chain-Ermittler ZachXBT, dass „Hunderte“ von Geldbörsen über Ethereum Virtual Machine-kompatible Netzwerke in einem umfassenden Angriff abgezogen wurden, der kleine Beträge von jedem Opfer abzweigte.

Der Cybersecurity-Forscher Vladimir S. sagte, dass der Vorfall möglicherweise mit einem Verstoß im Dezember verbunden war, der Trust Wallet betraf und zu einem Verlust von rund 7 Millionen Dollar über mehr als 2.500 Geldbörsen führte.

Trust Wallet sagte später, dass der Verstoß möglicherweise aus einer Kompromittierung der Lieferkette resultierte, die npm-Pakete betraf, die in ihrem Entwicklungsworkflow verwendet wurden.

Magazine: Niemand weiß, ob quantensichere Kryptographie überhaupt funktionieren wird.