Злоумышленники получили доступ к аккаунту ключевого разработчика библиотеки Axios в реестре npm и выложили две заражённые версии пакета, распространявшие кроссплатформенный троян удалённого доступа. Атака произошла 30 марта, сообщил Tom’s Hardware.
Вредоносные релизы axios@1.14.1 и axios@0.30.4 находились в открытом доступе в течение двух-трёх часов. Атака была реализована через скрытую зависимость plain-crypto-js@4.2.1 — поддельный пакет, замаскированный под легитимную библиотеку CryptoJS, которая реализует набор стандартных криптографических алгоритмов на JavaScript.
В момент установки запускался сценарий, загружавший вирус, адаптированный под macOS, Windows и Linux. По данным аналитиков StepSecurity, вредоносный код связывался с управляющим сервером sfrclak.com уже через 1,1 секунды после начала установки npm-пакета.
Эксперты по безопасности рекомендуют считать полностью скомпрометированными все системы, на которых выполнялась установка этих версий. Крупные IT-компании, включая Snyk, Wiz и Vercel, выпустили предупреждения с рекомендацией немедленно сменить все учётные данные.
На macOS троян сохранялся в директории /Library/Caches/com.apple.act.mond. На Windows вредонос копировал PowerShell в %PROGRAMDATA%\wt.exe. На Linux загружалась Python-версия RAT в /tmp/ld.py.
Подготовка к атаке заняла около 18 часов: хакеры сначала загрузили чистую версию plain-crypto-js для создания истории публикаций, а затем подменили её на троян. После этого через взломанный аккаунт мейнтейнера Джейсона Сааймана (Jason Saayman) с разницей в 39 минут были опубликованы заражённые ветки библиотеки Axios. После успешного развёртывания скрипт автоматически удалял все следы своего присутствия, поэтому последующая визуальная проверка кода не выявляла подозрительных элементов.
Заражённые релизы публиковались в обход стандартного конвейера CI/CD, поэтому они так и не появились в официальном репозитории Axios на GitHub. Администрация npm удалила вредоносные версии и заблокировала опасную зависимость. Поскольку библиотеку Axios скачивают около 100 млн раз в неделю, инцидент создал угрозу для огромной аудитории.
Взломы через цепочки зависимостей в реестрах npm становятся всё более изощрёнными — злоумышленники тратят десятки часов на подготовку, чтобы атака оставалась незамеченной. Интернет-газета «ЖУК» сообщала, что на платформе GitHub был обнаружен исходный код эксплойта DarkSword, предназначенного для атак на устаревшие версии iOS и iPadOS. Цепочка из нескольких уязвимостей позволяла хакерам похитить конфиденциальные данные пользователей и полностью установить контроль над устройством.