حزمة التبعيات الأساسية npm axios بإصدار 1.14.1 تعرضت لهجوم عبر سلسلة الإمداد، وتم إدخال كود خبيث فيها

أخبار البوابة، 31 مارس، أعلنت Socket AI عن تحذير أمني. تتعرض حزمة اعتماد أساسية في نظام npm البيئي، axios، لهجوم نشط على سلسلة الإمداد. تم حقن أحدث إصدار من axios، axios@1.14.1، بحزمة خبيثة تم إدخالها لأول مرة من قبل ولم تكن موجودة سابقًا وهي plain-crypto-js@4.2.1. أكد تحليل Socket AI أن هذه الحزمة عبارة عن برنامج ضار. يبلغ عدد مرات تنزيل axios أسبوعيًا أكثر من 100 مليون مرة، وتواجه جميع المشاريع التي تقوم بجلب أحدث الإصدارات خطر اختراق محتمل. اقترح مؤسس Socket AI، Feross، على جميع مستخدمي axios قفل الإصدار فورًا ومراجعة ملف القفل، وتجنب الترقية إلى أحدث إصدار.