Popüler JavaScript HTTP istemci kütüphanesi Axios’un iki npm sürümüne ([email protected] ve [email protected]) kurulum sırasında otomatik çalışan kötü amaçlı bir bağımlılık sızdırıldığı tespit edildi.
Güvenlik şirketi Socket tarafından ortaya çıkarılan bu tedarik zinciri saldırısının ardından uzmanlar, bu sürümleri kullanan geliştiricileri sistemlerinin tamamen ele geçirilmiş olabileceği konusunda uyararak API anahtarları ve oturum jetonları dahil tüm kimlik bilgilerini derhal değiştirmeye çağırdı.
Kripto cüzdanları hedef alınıyor ve binlerce uygulama risk altında
Sisteme sızan “[email protected]” adlı zararlı paket, tek bir açık kaynaklı bileşenin bile ona bağlı binlerce uygulamayı nasıl riske atabileceğini açıkça gösteriyor.
Geçmişte yaşanan benzer tedarik zinciri ihlalleri, sorunun sadece geliştirici verileriyle sınırlı kalmayıp son kullanıcıların kripto cüzdanlarının boşaltılmasına kadar varabildiğini kanıtlıyor; nitekim ocak ayında EVM uyumlu ağlarda yüzlerce cüzdanın boşaltıldığı geniş çaplı saldırının da Trust Wallet’ın kullandığı benzer ihlallerden kaynaklandığı düşünülüyor.
