Η επίθεση του Axios στο NPM εισάγει RAT και θέτει σε κίνδυνο χιλιάδες προγραμματιστές

Η δημοφιλής βιβλιοθήκη Axios, που χρησιμοποιείται σε πολλά έργα JavaScript για την εκτέλεση αιτημάτων HTTP, κατέγραψε μια επίθεση αλυσίδας εφοδιασμού που έθετε σε κίνδυνο δύο συγκεκριμένες εκδόσεις που δημοσιεύτηκαν στο μητρώο NPM. Το Investigadores από τη StepSecurity προσδιόρισε τις εκδόσεις 1.14.1 και 0.30.4 ως κακόβουλες, που δημοσιεύτηκαν τις πρώτες πρωινές ώρες της 31ης Μαρτίου 2026. Τα πακέτα ενέπνευσαν μια ψεύτικη εξάρτηση που εκτελεί ένα σενάριο εγκατάστασης ικανό να εγκαταστήσει έναν trojan απομακρυσμένης πρόσβασης σε υπολογιστές προγραμματιστών.

Το περιστατικό εξέθεσε το τεράστιο οικοσύστημα ανάπτυξης που εξαρτάται από τη βιβλιοθήκη, μια από τις πιο λήψεις στην πλατφόρμα με περισσότερες από 100 εκατομμύρια εβδομαδιαίες λήψεις. Οι εισβολείς δεν άλλαξαν τον βασικό κώδικα του Axios, αλλά πρόσθεσαν μια κρυφή εξάρτηση που ονομάζεται plain-crypto-js@4.2.1. Η εξάρτηση Essa ενεργοποιείται αυτόματα όταν εκτελείται εγκατάσταση npm, εγκαθιστώντας συγκεκριμένα ωφέλιμα φορτία για Windows, macOS και Linux.

Πώς παραβιάστηκε ο λογαριασμός συντήρησης

Οι υπεύθυνοι για την επίθεση απέκτησαν πρόσβαση στον λογαριασμό NPM του κύριου συντηρητή του έργου, που προσδιορίζεται ως jasonsaayman. Ο Eles άλλαξε τη συσχετισμένη διεύθυνση email σεifstap@proton.meκαι δημοσίευσε με μη αυτόματο τρόπο τις παραβιασμένες εκδόσεις, παρακάμπτοντας τις αυτοματοποιημένες συνεχείς ροές ενοποίησης του αποθετηρίου στο GitHub. Η πρώτη κακόβουλη έκδοση, axios@1.14.1, κυκλοφόρησε γύρω στις 00:21 UTC, ακολουθούμενη από το axios@0.30.4 περίπου 39 λεπτά αργότερα.

Αυτή η προσέγγιση επέτρεψε τη διάθεση πακέτων χωρίς την ενεργοποίηση ελέγχων υπογραφής ή συνήθων διαδικασιών CI/CD. Οι συντηρητές Axios αντέδρασαν γρήγορα μετά την ανακάλυψη και η NPM αφαίρεσε και τις δύο εκδόσεις μέσα σε λίγες ώρες, περιορίζοντας τον χρόνο έκθεσης σε περίπου δύο έως τρεις ώρες.

⚡ ΠΡΟΕΙΔΟΠΟΙΗΣΗ – Το Axios npm (83 εκατομμύρια εβδομαδιαίες λήψεις) παραβιάστηκε, μετατρέποντας τις εγκαταστάσεις σε διαδρομή παράδοσης κακόβουλου λογισμικού.

Οι εκδόσεις 1.14.1 και 0.30.4 οδήγησαν σε μια ψεύτικη εξάρτηση που απέρριψε ένα cross-platform RAT και, στη συνέχεια, διέγραψε στοιχεία. Published χρησιμοποιώντας κλεμμένα διαπιστευτήρια συντηρητή.

🔗What…pic.twitter.com/rBTiPGZmbr

—The Hacker News (@TheHackersNews)31 Μαρτίου 2026

Τεχνικές λεπτομέρειες του εγχυόμενου κακόβουλου λογισμικού

Η ψευδής εξάρτηση plain-crypto-js@4.2.1 δεν εισήχθη σε κανένα σημείο του αρχικού κώδικα Axios, που χρησιμεύει αποκλειστικά για την εκτέλεση ενός σεναρίου μετά την εγκατάσταση. Το σενάριο λειτουργούσε ως trojan dropper απομακρυσμένης πρόσβασης, δημιουργώντας επαφή με έναν διακομιστή εντολών και ελέγχου για τη λήψη πρόσθετων ωφέλιμων φορτίων προσαρμοσμένων σε κάθε λειτουργικό σύστημα.

Χρησιμοποιήθηκαν τεχνικές συσκότισης για να γίνει δύσκολη η άμεση ανάλυση, με τις εντολές να αποκωδικοποιούνται κατά το χρόνο εκτέλεσης. Após επιτυχής εγκατάσταση, το κακόβουλο λογισμικό αφαίρεσε τα δικά του ίχνη, αντικαθιστώντας το αρχείο package.json με μια καθαρή έκδοση για να αποφευχθεί ο εντοπισμός σε μεταγενέστερες επιθεωρήσεις του φακέλου node_modules.

• Έλεγχος για επηρεαζόμενες εκδόσεις με την εντολή npm list axios φιλτράρισμα 1.14.1 ή 0.30.4
• Έλεγχος της παρουσίας του φακέλου node_modules/plain-crypto-js ως ένδειξη συμβιβασμού
• Αναζήτηση για αντικείμενα, όπως προσωρινά αρχεία στο /tmp/ld.py ή ισοδύναμα σε άλλα συστήματα

Συνιστώμενα μέτρα μετριασμού για προγραμματιστές

Οι προγραμματιστές που εγκατέστησαν τις εκδόσεις 1.14.1 ή 0.30.4 θα πρέπει να θεωρούν ότι το περιβάλλον είναι σε κίνδυνο και να λάβουν άμεσα μέτρα. Η κύρια σύσταση είναι να επιστρέψετε στις προηγούμενες ασφαλείς εκδόσεις: axios@1.14.0 στον πιο πρόσφατο κλάδο ή axios@0.30.3 στην έκδοση παλαιού τύπου.

Είναι απαραίτητο να αφαιρέσετε την ψεύτικη εξάρτηση, να εκτελέσετε μια καθαρή εγκατάσταση με τη σημαία –ignore-scripts και να περιστρέψετε όλα τα ευαίσθητα διαπιστευτήρια, συμπεριλαμβανομένων των διακριτικών NPM, των κλειδιών SSH, των προσβάσεων στην υπηρεσία cloud και των μεταβλητών περιβάλλοντος. Σε αγωγούς συνεχούς ενοποίησης, η μόνιμη υιοθέτηση της παραμέτρου που αγνοεί τα σενάρια μετά την εγκατάσταση βοηθά στην αποφυγή ανεπιθύμητων αυτόματων εκτελέσεων.

Leia Tambem

Η ψηφιακή λιανική μειώνει την αξία του smartphone Galaxy S25 5G με τραπεζικά μπόνους και ανταλλαγή συσκευών

Ο ασύρματος προσαρμογέας CarPlay της Amazon έχει έκπτωση 50% και υψηλές βαθμολογίες έγκρισης από τους οδηγούς

Το νέο Resident Evil του Zach Cregger αγνοεί τα παιχνίδια και εστιάζει σε μια ιστορία άνευ προηγουμένου με νέους χαρακτήρες

Επιπτώσεις στο οικοσύστημα ανάπτυξης JavaScript

Η Axios είναι από τις πιο χρησιμοποιούμενες βιβλιοθήκες στο οικοσύστημα Node.js και σε εφαρμογές front-end, καθώς αποτελεί άμεση ή έμμεση εξάρτηση πολλών εταιρικών έργων και έργων ανοιχτού κώδικα. Η επίθεση υπογραμμίζει την εγγενή ευπάθεια των μεμονωμένων λογαριασμών συντήρησης σε εξαιρετικά δημοφιλή πακέτα, ακόμη και όταν ο βασικός κώδικας παραμένει άθικτος.

Οι ειδικοί ασφαλείας σημειώνουν ότι η μέθοδος που χρησιμοποιείται επιδεικνύει λειτουργική πολυπλοκότητα, με προηγούμενη προετοιμασία της ψευδούς εξάρτησης σε καθαρή έκδοση πριν από την έγχυση του κακόβουλου ωφέλιμου φορτίου. Η στρατηγική Essa περιέπλεξε τις αρχικές αυτόματες ανιχνεύσεις και αύξησε τον κίνδυνο κατά τη σύντομη περίοδο κατά την οποία ήταν διαθέσιμες οι εκδόσεις.

Οδηγίες για τον έλεγχο και τον καθαρισμό των επηρεαζόμενων περιβαλλόντων

Οι ομάδες ανάπτυξης πρέπει να ελέγχουν τα αρχεία καταγραφής εγκατάστασης και το ιστορικό πακέτων για να προσδιορίσουν εάν έχουν γίνει λήψη κακόβουλων εκδόσεων. Η παρουσία του φακέλου plain-crypto-js στο node_modules χρησιμεύει ως ισχυρή ένδειξη ότι το dropper εκτελέστηκε, ανεξάρτητα από την μεταγενέστερη αφαίρεση του αρχείου.

Μετά τον καθαρισμό, συνιστάται η πλήρης σάρωση συστημάτων με εργαλεία ανίχνευσης απειλών και η παρακολούθηση των συνδέσεων δικτύου σε διευθύνσεις που σχετίζονται με τον διακομιστή ελέγχου. Η άμεση ενημέρωση των πολιτικών ασφαλείας σε ιδιωτικά αποθετήρια συμβάλλει επίσης στη μείωση παρόμοιων κινδύνων σε άλλα πακέτα.

Αποτροπή μελλοντικών επιθέσεων σε αρχεία καταγραφής πακέτων

Το περιστατικό ενισχύει τη σημασία μέτρων όπως ο αυστηρός έλεγχος ταυτότητας πολλαπλών παραγόντων για τη δημοσίευση λογαριασμών, η συνεχής παρακολούθηση των αλλαγών στα μεταδεδομένα του πακέτου και η υιοθέτηση πιο ισχυρών ελέγχων ακεραιότητας. Τα συστήματα ανοιχτού κώδικα Projetos με υψηλή υιοθέτηση ενδέχεται να εξετάσουν το ενδεχόμενο πρόσθετων διαδικασιών ελέγχου πριν από τις νέες εκδόσεις.

Οι μεμονωμένοι προγραμματιστές και εταιρείες θα πρέπει να δώσουν προτεραιότητα στην καρφίτσωμα γνωστών ασφαλών εκδόσεων σε αρχεία διαμόρφωσης έργου, αποφεύγοντας την αυτόματη εγκατάσταση ενημερώσεων χωρίς προηγούμενη επικύρωση. Οι πρακτικές Essas συμβάλλουν στον περιορισμό της επιφάνειας επίθεσης στις αλυσίδες εφοδιασμού λογισμικού.

Η κοινότητα ασφαλείας συνεχίζει να παρακολουθεί την υπόθεση για να χαρτογραφήσει πιθανά θύματα και να βελτιώσει τα εργαλεία ανίχνευσης. Até Προς το παρόν, δεν υπάρχουν δημόσιες αναφορές για μεγάλης κλίμακας εκμετάλλευση, αλλά η ομόφωνη σύσταση είναι να αντιμετωπίζεται οποιαδήποτε εγκατάσταση των επηρεαζόμενων εκδόσεων ως πλήρης συμβιβασμός του εμπλεκόμενου συστήματος.