Yaygın olarak kullanılan HTTP istemcisi Axios, npm paketinde yayımlanan iki yeni sürüm üzerinden gerçekleştirilen bir tedarik zinciri saldırısı (supply chain attack) ile gündeme geldi. Söz konusu sürümlerde, Windows, macOS ve Linux sistemleri hedef alabilen truva atı (trojan) içeren kötü amaçlı bir bağımlılık (dependency) eklendiği tespit edildi.
Yapılan analizlere göre, Axios 1.14.1 ve 0.30.4 sürümlerine, sahte bir bağımlılık olarak “plain-crypto-js” 4.2.1 paketi enjekte edilmiştir.
Güvenlik firması StepSecurity tarafından yapılan açıklamada, bu sürümlerin Axios’un ana geliştiricisine ait “jasonsaayman” kullanıcı hesabının ele geçirilmiş npm kimlik bilgileri kullanılarak yayımlandığı belirtilmiştir. Bu sayede saldırganların, projenin GitHub Actions CI/CD süreçlerini de atlatabildiği ifade edilmektedir.
Etkilenen sürümleri kullanan kullanıcıların, derhal tüm gizli anahtarlarını (secrets) ve kimlik bilgilerini (credentials) yenilemeleri ve güvenli sürümlere (1.14.0 veya 0.30.3) geri dönmeleri gerekmektedir.
Kötü amaçlı sürümler ile birlikte “plain-crypto-js” paketi npm üzerinden kaldırılmış olup, artık indirilememektedir.