Атака Axios на NPM впроваджує RAT і ставить під загрозу тисячі розробників

Популярна бібліотека Axios, яка використовується в численних проектах JavaScript для виконання HTTP-запитів, зафіксувала атаку на ланцюжок поставок, яка скомпрометувала дві конкретні версії, опубліковані в реєстрі NPM. Investigadores від StepSecurity визначив версії 1.14.1 і 0.30.4 як зловмисні, опубліковані вранці 31 березня 2026 року. Пакунки впровадили фальшиву залежність, яка запускає сценарій інсталяції, здатний інсталювати троян віддаленого доступу на машини розробників.

Інцидент оголив величезну екосистему розробки, яка залежить від бібліотеки, однієї з найбільш завантажуваних на платформі з понад 100 мільйонами завантажень щотижня. Зловмисники не змінили код ядра Axios, але додали приховану залежність під назвою plain-crypto-js@4.2.1. Залежність Essa активується автоматично під час запуску npm install, встановлення певного корисного навантаження для Windows, macOS і Linux.

Як обліковий запис обслуговування було зламано

Відповідальні за атаку отримали доступ до облікового запису NPM головного супроводжуючого проекту, ідентифікованого як jasonsaayman. Eles змінив пов’язану адресу електронної пошти наifstap@proton.meі вручну публікував скомпрометовані версії, минаючи автоматизовані безперервні потоки інтеграції сховища на GitHub. Перша шкідлива версія, axios@1.14.1, була випущена близько 00:21 UTC, а потім axios@0.30.4 приблизно через 39 хвилин.

Цей підхід дозволив зробити пакети доступними без запуску перевірки підпису або звичайних процесів CI/CD. Менеджери Axios швидко відреагували на виявлення, і NPM видалив обидві версії протягом кількох годин, обмеживши час експозиції приблизно двома-трьома годинами.

⚡ ПОПЕРЕДЖЕННЯ. Axios npm (83 млн завантажень на тиждень) було зламано, що перетворило встановлення на шлях доставки зловмисного програмного забезпечення.

Версії 1.14.1 і 0.30.4 витягли фальшиву залежність, яка видалила кросплатформену RAT, а потім стерла докази. Published використовує вкрадені облікові дані супроводжуючого.

🔗What…pic.twitter.com/rBTiPGZmbr

—The Hacker News (@TheHackersNews)31 березня 2026 р

Технічні деталі впровадженого шкідливого програмного забезпечення

Помилкова залежність plain-crypto-js@4.2.1 не була імпортована в жодному місці вихідного коду Axios, служачи виключно для виконання сценарію після встановлення. Сценарій діяв як програма для віддаленого доступу до трояна, встановлюючи зв’язок із сервером команд і керування для завантаження додаткових корисних даних, адаптованих до кожної операційної системи.

Для ускладнення негайного аналізу використовувалися методи обфускації, де команди декодувалися під час виконання. Após успішне встановлення, зловмисне програмне забезпечення видалило власні сліди, замінивши файл package.json чистою версією, щоб уникнути виявлення під час наступних перевірок папки node_modules.

• Перевірка уражених версій за допомогою команди npm list axios filtering 1.14.1 або 0.30.4
• Перевірка наявності папки node_modules/plain-crypto-js як індикатора компрометації
• Пошук артефактів, таких як тимчасові файли в /tmp/ld.py або еквівалентах в інших системах

Рекомендовані заходи пом’якшення для розробників

Розробники, які встановили версії 1.14.1 або 0.30.4, повинні вважати середовище скомпрометованим і негайно вжити заходів. Основна рекомендація полягає в тому, щоб повернутися до попередніх безпечних версій: axios@1.14.0 в останній гілці або axios@0.30.3 в старій версії.

Важливо видалити фальшиву залежність, виконати чисту інсталяцію з прапорцем –ignore-scripts і змінити всі конфіденційні облікові дані, включаючи маркери NPM, ключі SSH, доступ до хмарних служб і змінні середовища. У конвеєрах безперервної інтеграції постійне застосування параметра, який ігнорує сценарії після встановлення, допомагає запобігти небажаному автоматичному виконанню.

Leia Tambem

Colby Minifie підтверджує можливості Ешлі Барретт у п’ятому сезоні The Boys

Samsung випускає нове оновлення системи з новими функціями для користувачів Galaxy Watch 4

Цифровий роздрібний продаж знижує вартість смартфона Galaxy S25 5G завдяки банківським бонусам і обміну пристрою

Вплив на екосистему розробки JavaScript

Axios є однією з найбільш використовуваних бібліотек в екосистемі Node.js і в інтерфейсних програмах, будучи прямою чи опосередкованою залежністю від численних корпоративних проектів і проектів з відкритим кодом. Атака підкреслює природну вразливість окремих облікових записів супроводжувачів у дуже популярних пакетах, навіть якщо основний код залишається недоторканим.

Експерти з безпеки відзначають, що використовуваний метод демонструє операційну складність із попередньою підготовкою хибної залежності в чистій версії перед впровадженням шкідливого корисного навантаження. Стратегія Essa ускладнила початкове автоматичне виявлення та збільшила ризик протягом короткого періоду, протягом якого версії були доступні.

Рекомендації щодо перевірки та очищення ураженого середовища

Команди розробників повинні перевірити журнали встановлення та історію пакетів, щоб визначити, чи були завантажені шкідливі версії. Наявність папки plain-crypto-js у node_modules служить сильним показником того, що дроппер було виконано, незалежно від подальшого видалення файлу.

Після очищення рекомендується повністю просканувати системи за допомогою засобів виявлення загроз і відстежити мережеві підключення до адрес, пов’язаних із сервером керування. Негайне оновлення політик безпеки в приватних сховищах також допомагає зменшити подібні ризики в інших пакетах.

Запобігання майбутнім атакам на журнали пакетів

Інцидент посилює важливість таких заходів, як сувора багатофакторна автентифікація в облікових записах публікації, безперервний моніторинг змін метаданих пакетів і застосування більш надійних перевірок цілісності. Системи з відкритим вихідним кодом Projetos із широким розповсюдженням можуть розглядати додаткові процеси перевірки перед новими випусками.

Індивідуальним розробникам і компаніям слід приділяти пріоритет закріпленню відомих безпечних версій у файлах конфігурації проекту, уникаючи автоматичного встановлення оновлень без попередньої перевірки. Практики Essas допомагають обмежити поверхню атак у ланцюгах постачання програмного забезпечення.

Співтовариство безпеки продовжує стежити за справою, щоб визначити можливих жертв і вдосконалити засоби виявлення. Até Наразі немає публічних повідомлень про масштабну експлуатацію, але одностайна рекомендація полягає в тому, щоб розглядати будь-яке встановлення уражених версій як повну компрометацію системи.