Axios Zararlı Yazılım Bulaştırıyor

Yazılım Geliştirme
1

Merhaba

https://x.com/feross/status/2038807290422370479

Oldukça yaygın kullanılan npm paketlerinden birisi olan Axios zararlı yazılım bulaştırmaya başlamış, npm ekibi zararlı yazılımı kaldırmış ama sizde bilgisayarını kontrol edin.

AXIOS GÜVENLİK UYARISI - Aktif Tedarik Zinciri Saldırısı

Durum Özeti

npm’in en popüler paketlerinden axios’un son sürümü (1.14.1), zararlı yazılım içeren plain-crypto-js@4.2.1 paketini bağımlılık olarak çekiyor. Bu, aktif bir güvenlik ihlalidir.

Tehdit Detayları

  • axios@1.14.1 sürümü tehlikeli kabul ediliyor
  • Haftalık 100M+ indirme sayısı nedeniyle etki alanı çok geniş
  • plain-crypto-js paketi, sistem komutları çalıştıran, dosya kopyalayan ve iz silen gizlenmiş bir zararlı yazılım

Durum Tespiti Komutları

1. Axios Kurulu mu ve Hangi Sürüm?

# Proje dizininde
npm list axios

# veya global kurulumlar için
npm list -g axios

2. Tüm Bağımlılık Ağacını Kontrol Et

# axios'un tüm alt bağımlılıklarını göster
npm list axios --all

# plain-crypto-js paketini ara
npm list plain-crypto-js

3. package-lock.json Dosyasını İncele

# Linux/Mac
grep -A 5 "axios" package-lock.json
grep "plain-crypto-js" package-lock.json

# Windows (PowerShell)
Select-String -Pattern "axios" -Path package-lock.json -Context 0,5
Select-String -Pattern "plain-crypto-js" -Path package-lock.json

4. Tüm Node Projelerinde Tarama

# Linux/Mac - tüm package.json dosyalarını bul ve axios'u ara
find ~ -name "package.json" -exec grep -l "axios" {} \;

# Windows (PowerShell)
Get-ChildItem -Path C:\ -Filter package.json -Recurse -ErrorAction SilentlyContinue | Select-String "axios"

5. Kurulu Sürüm Bilgisi Detaylı

npm info axios version
npm view axios versions --json

Acil Önlemler

Lockfile’ı Kontrol Et

# package-lock.json'ı sil ve yeniden oluştur
rm package-lock.json
npm install

# veya yarn.lock için
rm yarn.lock
yarn install

Zararlı Paket Kontrolü

# node_modules içinde plain-crypto-js var mı?
ls node_modules/ | grep plain-crypto-js

# veya
find node_modules -name "plain-crypto-js" -type d
‘’’


## Öneriler
✅ Axios sürümünüzü hemen kontrol edin
✅ package-lock.json / yarn.lock dosyalarını inceleyin  
✅ Son yapılan production deploy'ları gözden geçirin
2 Beğeni