Az Axios egy rendkívül népszerű programozói HTTP-kliens, amelyet fejlesztők világszerte nap mint nap használnak alkalmazásaikban. Egy nemrégiben történt támadás során ismeretlen, de profi fenyegetők kompromittálták az Axios npm-csomagját, miután sikerült átvenniük az irányítást a fő karbantartó fiókja felett. Ezután két fertőzött verziót is feltöltöttek az npm-re, amelyek szokatlan módszerrel juttattak kártékony kódot a fejlesztői gépekre.
A támadók olyan módszert alkalmaztak, ami első pillantásra ártalmatlannak tűnt: egy látszólag jelentéktelen csomagot adtak a függőségekhez, amely egy hátsó bejáratként szolgált. Így rejtették el a támadást a szokásos ellenőrzések elől, majd speciális távoli hozzáférési trójait töltöttek le az áldozatok gépére, különböző operációs rendszerekre szabva a támadási folyamatot.
Miközben a fejlesztők figyelmét felhívták a kompromittált gépek teljes újratelepítésének fontosságára, a történtek rávilágítanak a szoftverellátási láncok megbízhatósági problémáira is. Emellett bemutatják, hogyan lehet megfelelően védekezni hasonló fenyegetések ellen a csomagok hitelesítésével és telepítési praktikákkal.
Nem sokkal később egy másik incidens is felkavarta a technológiai szektort: az Anthropic, a Claude nevű AI mögött álló vállalat véletlenül nyilvánosságra hozta saját, jelentős mennyiségű forráskódját az npm-en keresztül. Egy szimpla csomagolási hiba miatt több százezer sor, nagyrészt TypeScript-alapú kód jutott nyilvánosságra, ami betekintést enged a cég belső technológiai megoldásaiba és tervezett fejlesztéseibe.
Ez a szivárgás rávilágít arra, hogyan keveredik a modern AI algoritmusok mögötti összetett háttér-infrastruktúra, valamint arra, hogy az egyszerű, jól bevált programozói eszközök hogyan egészítik ki a mesterséges intelligencia modellek működését. Ráadásul a történtek komoly kérdéseket vetnek fel a nagyvállalati adatmennyiség védelmével és vállalati IPO előkészületeivel kapcsolatban.
