Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

Kriittinen haavoittuvuus axios JavaScript -paketin npm-jakelussa

Haavoittuvuus7/2026MAL-2026-2306 (Ulkoinen linkki)

Julkaistu

Npm-jakelun kautta levitetyssä axios-paketissa oli muutaman tunnin ajan haitallinen riippuvuus. Haitallinen riippuvuuvs johti takaoven asentumiseen järjestelmään. Paketin jakelu on korjattu, mutta haitallisen version asentaneet järjestelmät voivat olla yhä murrettuja.

Haavoittuvuuden kohde

Haavoittuvuus koskee npm-jakelun kautta saatavilla olleita axios-paketin versioita 1.14.1 ja 0.30.4.
Haavoittunut versio lisää järjestelmään riippuvuutena myös haitallisen plain-crypto-js -paketin versiolla 4.2.1.

Nämä haitalliset versiot poistettiin npm-jakelusta 2026-03-31 03.29 UTC.

Mistä on kysymys?

Axios on JavaScript HTTP asiakaskirjasto, jota käytetään hyvin laajasti osana pilvi- ja kehitysympäristöjä.

Axios-kirjaston pääkehittäjän tunnus npm-jakelupalvelussa oli joutunut hyökkääjän haltuun. Tätä tunnusta käyttäen hyökkääjä julkaisi kirjastosta jakeluun kaksi uutta versiota, jotka sisälsivät riippuvuuden ylimääräiseen plain-crypto-js -pakettiin. Tämä hyökkääjän hallinnoima paketti lisäsi asentuessaan järjestelmään takaoven, joka ryhtyi välittömästi ottamaan yhteyttä hyökkääjän hallintapalvelimeen. Tästä takaovesta oli omat versionsa Windows-, Linux- ja MacOS-alustoille.

Haitalliset versiot olivat saatavilla kirjastosta noin kolmen tunnin ajan ja ne on nyt korjattu. Näiden palauttaminen oikeaan versioon ei kuitenkaan poista takaovea, mikäli se on jo asentunut järjestelmään.

Mitä voin tehdä?

  • Palaa axiosin puhtaaseen versioon ja kiinnitä (pin) versio.
       - axios@1.14.0 käyttäjille, jotka ovat 1.x-sarjassa
       - axios@0.30.3 käyttäjille, jotka ovat 0.x-sarjassa
  • Lisää overrides-lohko estääksesi transitiivisia riippuvuuksia palautumasta haitallisiin versioihin.
  • Poista plain-crypto-js node_modules‑hakemistosta.
  • Jos takaoviartefakti löytyy: käsittele järjestelmää täysin vaarantuneena.
    • On suositeltavaa rakentaa järjestelmä uudelleen tunnetusti puhtaasta tilasta
    • Lisäksi tunnukset järjestelmissä, joissa haitallista pakettia on ajettu tulisi kierrättää. Näitä ovat:
             - npm-tokenit
             - AWS access keyt
             - SSH-yksityiset avaimet
             - Pilvipalvelujen tunnukset (GCP, Azure)
             - CI/CD-salaisuudet
             - Kaikki .env-tiedostojen arvot, jotka olivat saatavilla asennuksen aikana
  • Tarkista CI/CD‑putket, joissa on voinut asentua saastuneet versiot.
  • Käytä --ignore-scripts komentoa CI/CD:ssä pysyvänä politiikkana estääksesi postinstall‑koukut.
  • Estä C2‑liikenne verkko- tai DNS‑tasolla varotoimena kaikilla mahdollisesti altistuneilla järjestelmillä.

Lisätietoja