Предупреждение о потенциальной supply chain атаке на библиотеку Axios
Ключевые факты
- 1 Пост описывает гипотетическую supply chain атаку на библиотеку Axios.
- 2 Предполагаемая дата атаки: 30 марта 2026 года.
- 3 Axios имеет около 100 миллионов скачиваний в неделю.
- 4 Рекомендуется проверить системы и логи CI/CD, если `npm install` выполнялся в указанное окно.
- 5 Предлагается ротировать скомпрометированные секретные токены.
- 6 Для защиты от будущих атак рекомендуется задержка скачивания новых версий библиотек на 72 часа.
В сообщении описывается сценарий supply chain атаки, затронувшей библиотеку Axios, используемую в Node.js проектах и имеющую около 100 миллионов скачиваний в неделю. Согласно посту, зараженная версия распространялась в течение трех часов, начиная с 23:59 UTC 30 марта 2026 года. Пользователям, которые выполняли `npm install` в этот период, рекомендуется проверить свои системы и логи CI/CD. В случае использования секретных токенов в CI/CD во время предполагаемой атаки, их следует немедленно сменить. Для предотвращения подобных атак предлагается настроить системы управления пакетами (например, `uv` или `npm`) таким образом, чтобы они не скачивали библиотеки, обновленные в последние 72 часа, используя параметры `exclude-newer = "3 days"` или `min-release-age=3` соответственно. Это позволяет другим пользователям выступать в роли бета-тестеров для новых версий и выявлять потенциальные угрозы до их широкого распространения.