Атака на дистрибутив Axios на NPM компрометує пакети та впливає на велику екосистему розробки

Обліковий запис npm супроводжуючого Axios став об’єктом кібератаки 31 березня 2026 року, що призвело до публікації двох шкідливих версій популярного пакета npm (v1.14.1 і v0.30.4). Інцидент Este створив залежність для `plain-crypto-js`, нового троянського пакету, створивши значну вразливість у ланцюжку постачання програмного забезпечення.

Незважаючи на те, що скомпрометовані версії були швидко видалені протягом кількох годин, широке використання Axios, присутнього приблизно в 80% хмарних і кодових середовищ, і з приблизно 100 мільйонами завантажень щотижня, сприяло швидкому виявленню. Зловмисне програмне забезпечення Observou було запущено в 3% уражених середовищ, перш ніж загрозу було повністю локалізовано.

Зараз організаціям у всьому світі настійно рекомендується проводити ретельний аудит своїх систем, щоб виявити будь-яке можливе виконання цих скомпрометованих версій, які відстежуються за ідентифікаторами GHSA-fw8c-xr5c-95f9 і MAL-2026-2306, і негайно вжити заходів для зменшення ризиків.

Деталі порушення та шкідливі пакети

Шахрайські версії Axios відрізнялися від легітимних тим, що включали пряму залежність від `plain-crypto-js`, пакета, спеціально створеного зі зловмисними намірами. Essas Скомпрометовані зміни були внесені безпосередньо в реєстр npm через зламаний обліковий запис супроводжуючого, а потім були видалені після швидкого виявлення недоліку.

Навіть за відносно короткого періоду впливу висока поширеність Axios у спільноті розробників призвела до значного розповсюдження, кульмінацією якого стали вимірювані виконання шкідливого коду в різноманітних середовищах. Ситуація Essa підкреслює швидкість, з якою можуть поширюватися атаки на ланцюги поставок, навіть за умови швидкої реакції стримування.

Механізми зараження та типи шкідливих програм

Шкідливий пакет містить дроппер, ідентифікований як `setup.js`, який має функцію завантаження та виконання специфічних для платформи корисних даних другої фази з сервера `sfrclak.com:8000`. Під час виконання Após дроппер виконує самоочищення, видаляючи та відновлюючи чистий файл `package.json`, щоб ускладнити виявлення. Вторинні корисні навантаження працюють як легкі трояни віддаленого доступу (RAT), які кожні 60 секунд обмінюються даними з сервером керування та керування (C2), передаючи дані системи та очікуючи інструкцій. Embora Незважаючи на те, що три варіанти реалізують схожу функціональність, включаючи віддалене виконання оболонки, ін’єкцію двійкових файлів, перегляд каталогів, список процесів і інформацію про систему, вони відрізняються своєю реалізацією для кожної операційної системи. У macOS корисне навантаження є універсальним двійковим Mach-O, скомпільованим на C++, здатним підписувати корисні навантаження, введені за допомогою кодового дизайну. No Windows, корисним навантаженням є сценарій PowerShell, який забезпечує постійність через розділ реєстру Run (MicrosoftUpdate) і пакетний файл для повторного завантаження. Já на Linux, корисне навантаження доставляється як сценарій Python, що демонструє універсальність зловмисників у націлюванні на різні платформи.

Термінові дії для служб безпеки

Враховуючи серйозність інциденту, служби безпеки повинні визначити пріоритетність ряду негайних дій. Дуже важливо перевірити використання Axios, щоб визначити, чи завантажено чи запущено вражені версії (1.14.1 або 0.30.4) у середовищі розробки чи виробництва.

Якщо є будь-які ознаки виконання шкідливих пакетів, передумовою має бути те, що облікові дані були скомпрометовані. Recomenda Перевірте уражені системи на наявність секретів, таких як змінні середовища, ключі API та маркери доступу, і змініть ці облікові дані.

Крім того, необхідно досліджувати можливі шляхи компромісу. Команди повинні перевірити конвеєри збірки та машини розробників на наявність будь-яких ознак неавторизованого доступу чи збереження, оскільки зловмисне програмне забезпечення могло поширюватися під час інсталяції та скомпрометувати вихідний ланцюг постачання.

Постійна пильність є важливою, з відстеженням підозрілої активності, включаючи вихідні з’єднання з `sfrclak.com:8000`. Também Важливо аналізувати журнали на предмет поведінки маяків, аномальних запитів HTTP POST або несподіваного виконання процесу, пов’язаного з інсталяцією пакета.

Ключові ідентифікатори компромісу (IOC)

Точна ідентифікація шкідливих артефактів має вирішальне значення для пом’якшення інциденту та реагування на нього. Індикатори компрометації Diversos були каталогізовані, щоб допомогти організаціям виявляти впливи та інфекції.

Leia Tambem

Colby Minifie підтверджує можливості Ешлі Барретт у п’ятому сезоні The Boys

Samsung випускає нове оновлення системи з новими функціями для користувачів Galaxy Watch 4

Цифровий роздрібний продаж знижує вартість смартфона Galaxy S25 5G завдяки банківським бонусам і обміну пристрою

Серед скомпрометованих пакетів першої фази стоять `axios-0.30.4.tgz` (SHA256: 59336a964f110c25c112bcc5adca7090296b54ab33fa95c0744b94f8a0d80c0f) і `axios-1.14.1.tgz` поза. (SHA256: 5bb67e88846096f1f8d42a0f0350c9c46260591567612ff9af46f98d1b7571cd), обидва представляють початкову стадію атаки через пакети npm.

Шкідливий пакет рівня 1.5, троянізований `plain-crypto-js-4.2.1.tgz`, має хеш SHA256: 58401c195fe0a6204b42f5f90995ece5fab74ce7c69c67a24c61a057325af668. Компонент Este має вирішальне значення, оскільки саме залежність ввела мерзенний код у системи.

Також було визначено корисні навантаження другої фази: для macOS — двійковий файл для та для Linux — сценарій ld.py Python (SHA256: fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf).

Інші важливі IOC включають:

Реагування та попередження атак у ланцюзі поставок

Швидке виявлення та видалення шкідливих версій Axios, хоч і має вирішальне значення, не усуває потреби в глибшому аналізі стійкості ланцюгів постачання програмного забезпечення. Подібні Incidentes підсилюють важливість проактивних стратегій безпеки, які виходять за рамки простої реакції на вже завершені атаки. Desenvolvedores та організації повинні впровадити надійні заходи для захисту своїх робочих процесів, від початкового кодування до кінцевої доставки, забезпечуючи цілісність кожного компонента.

Безпека ланцюга постачання залежить від багатогранного підходу, включаючи впровадження надійної багатофакторної автентифікації (MFA) для всіх облікових записів розробників і супроводжувачів пакетів, ретельний аналіз коду та використання автоматизованих інструментів сканування залежностей. Практики Essas допомагають виявляти та пом’якшувати вразливості, перш ніж ними зможуть скористатися зловмисники, створюючи більш ефективний бар’єр проти майбутніх спроб компрометації.

Еволюція безпеки в менеджерах пакетів

Ландшафт загроз для менеджерів пакетів, таких як NPM, постійно розвивається, вимагаючи від платформ і спільноти розробників постійної адаптації. За останні роки рівень обізнаності про безпеку ланцюга постачання різко зріс, що призвело до вдосконалення політики та інструментів виявлення.

Спільні зусилля між супроводжувачами, охоронними компаніями та самою платформою NPM мають важливе значення для посилення захисту. Isso включає впровадження більш суворих перевірок безпеки для нових пакетів і оновлень, а також поширення найкращих практик серед користувачів і співавторів у спільноті з відкритим кодом.

Постійні заходи для розробників

Щоб забезпечити постійну безпеку, розробники повинні бути пильними. Isso включає перевірку автентичності та репутації нових пакетів перед інтеграцією їх у проекти та перевагу добре встановленим і активно підтримуваним залежностям.