axios乗っ取りとか影響範囲デカすぎて草 週8000万DLはやべーだろ 全JS開発者が一斉に震えるレベル とりあえず1.14.1はアンスコ安定だな
axiosのnpm侵害(1.14.1/0.30.4)概要と対応指針。postinstallでplain-crypto-jsがRAT投入、確認・ダウングレードまで解説。
“find / -name "package-lock.json" -exec grep -l "plain-crypto-js" {} \; 2>/dev/null find / -name "yarn.lock" -exec grep -l "plain-crypto-js" {} \; 2>/dev/null find / -name "pnpm-lock.yaml" -exec grep -”
“axios への直接依存に限らず、間接依存(transitive dependency)でも postinstall フックは発火します”
1ファイルのスクリプトにしてくれていると嬉しいのだが。自分でやれって事か。
axios ソフトウェアサプライチェーン攻撃の概要と対応指針 - GMO Flatt Security Blog
axios乗っ取りとか影響範囲デカすぎて草 週8000万DLはやべーだろ 全JS開発者が一斉に震えるレベル とりあえず1.14.1はアンスコ安定だな
axiosのnpm侵害(1.14.1/0.30.4)概要と対応指針。postinstallでplain-crypto-jsがRAT投入、確認・ダウングレードまで解説。
“find / -name "package-lock.json" -exec grep -l "plain-crypto-js" {} \; 2>/dev/null find / -name "yarn.lock" -exec grep -l "plain-crypto-js" {} \; 2>/dev/null find / -name "pnpm-lock.yaml" -exec grep -”
“axios への直接依存に限らず、間接依存(transitive dependency)でも postinstall フックは発火します”
1ファイルのスクリプトにしてくれていると嬉しいのだが。自分でやれって事か。