Атака Axios на NPM приводит к внедрению RAT и компрометации тысяч разработчиков

Популярная библиотека Axios, используемая в многочисленных проектах JavaScript для выполнения HTTP-запросов, зафиксировала атаку на цепочку поставок, которая скомпрометировала две конкретные версии, опубликованные в реестре NPM. Следователи StepSecurity определили версии 1.14.1 и 0.30.4 как вредоносные, опубликованные рано утром 31 марта 2026 года. Пакеты внедряли поддельную зависимость, которая запускает сценарий установки, способный устанавливать трояна удаленного доступа на компьютеры разработчиков.

Инцидент выявил обширную экосистему разработки, которая зависит от библиотеки, одной из самых загружаемых на платформе: более 100 миллионов загрузок в неделю. Злоумышленники не изменили основной код Axios, но добавили скрытую зависимость под названием Plain-crypto-js@4.2.1. Эта зависимость активируется автоматически при запуске npm install, устанавливая определенные полезные нагрузки для Windows, macOS и Linux.

Как был скомпрометирован аккаунт обслуживания

Ответственные за атаку получили доступ к учетной записи NPM главного сопровождающего проекта, известного как jasonsaayman. Они изменили связанный адрес электронной почты наifstap@proton.meи вручную опубликовали скомпрометированные версии, минуя потоки автоматической непрерывной интеграции репозитория на GitHub. Первая вредоносная версия, axios@1.14.1, была выпущена около 00:21 UTC, а примерно через 39 минут — axios@0.30.4.

Такой подход позволил сделать пакеты доступными без запуска проверок подписей или обычных процессов CI/CD. Сопровождающие Axios быстро отреагировали после обнаружения, и NPM удалил обе версии в течение нескольких часов, ограничив время воздействия примерно двумя-тремя часами.

⚡ ВНИМАНИЕ! Axios npm (83 млн загрузок в неделю) был взломан, что превратило установки в путь доставки вредоносного ПО.

Версии 1.14.1 и 0.30.4 использовали фиктивную зависимость, которая отключала кроссплатформенный RAT, а затем удаляла доказательства. Опубликовано с использованием украденных учетных данных сопровождающего.

🔗 Что…pic.twitter.com/rBTiPGZmbr

— Новости хакеров (@TheHackersNews)31 марта 2026 г.

Технические подробности внедренного вредоносного ПО

Поддельная зависимость Plain-crypto-js@4.2.1 не была импортирована ни в одном месте исходного кода Axios и служила исключительно для выполнения сценария после установки. Скрипт действовал как загрузчик трояна удаленного доступа, устанавливая контакт с сервером управления и контроля для загрузки дополнительных полезных данных, адаптированных для каждой операционной системы.

Чтобы затруднить немедленный анализ, использовались методы запутывания, при этом команды декодировались во время выполнения. После успешной установки вредоносная программа удалила свои следы, заменив файл package.json чистой версией, чтобы избежать обнаружения при последующих проверках папки node_modules.

• Проверка уязвимых версий с помощью команды npm list axios filtering 1.14.1 или 0.30.4.
• Проверка наличия папки node_modules/plain-crypto-js как индикатора компрометации
• Поиск артефактов, таких как временные файлы в /tmp/ld.py или их эквивалентов в других системах.

Рекомендуемые меры по смягчению последствий для разработчиков

Разработчикам, установившим версии 1.14.1 или 0.30.4, следует считать, что среда скомпрометирована, и принять немедленные меры. Основная рекомендация — вернуться к предыдущим безопасным версиям: axios@1.14.0 в последней ветке или axios@0.30.3 в устаревшей версии.

Крайне важно удалить поддельную зависимость, выполнить чистую установку с флагом –ignore-scripts и заменить все конфиденциальные учетные данные, включая токены NPM, ключи SSH, доступ к облачным службам и переменные среды. В конвейерах непрерывной интеграции постоянное использование параметра, игнорирующего сценарии после установки, помогает предотвратить нежелательное автоматическое выполнение.

Leia Tambem

Samsung выпускает новое обновление системы с новыми функциями для пользователей Galaxy Watch 4

Значительная скидка на Galaxy S25 Plus снижает стоимость в интернет-магазине до уровня ниже 4500 реалов.

Слух предполагает, что Nintendo готовит специальное издание Switch 2 с ремейком Ocarina of Time

Влияние на экосистему разработки JavaScript

Axios — одна из наиболее часто используемых библиотек в экосистеме Node.js и во внешних приложениях, являясь прямой или косвенной зависимостью от многочисленных корпоративных проектов и проектов с открытым исходным кодом. Атака подчеркивает присущую уязвимость отдельных учетных записей сопровождающих в очень популярных пакетах, даже если основной код остается нетронутым.

Эксперты по безопасности отмечают, что используемый метод демонстрирует операционную сложность: перед внедрением вредоносной полезной нагрузки предварительно подготавливается ложная зависимость в чистой версии. Эта стратегия усложняла первоначальное автоматическое обнаружение и повышала риск в течение короткого периода, в течение которого версии были доступны.

Рекомендации по проверке и очистке затронутых сред

Командам разработчиков необходимо проверять журналы установки и историю пакетов, чтобы определить, были ли загружены вредоносные версии. Наличие папки Plain-crypto-js в node_modules служит убедительным индикатором того, что дроппер был выполнен, независимо от последующего удаления файла.

После очистки рекомендуется полностью просканировать системы средствами обнаружения угроз и следить за сетевыми подключениями к адресам, связанным с управляющим сервером. Немедленное обновление политик безопасности в частных репозиториях также помогает снизить аналогичные риски в других пакетах.

Предотвращение будущих атак на журналы пакетов

Этот инцидент подчеркивает важность таких мер, как строгая многофакторная аутентификация в учетных записях публикации, непрерывный мониторинг изменений в метаданных пакета и внедрение более надежных проверок целостности. Проекты с открытым исходным кодом, получившие широкое распространение, могут рассмотреть возможность дополнительных процессов проверки перед выходом новых выпусков.

Отдельные разработчики и компании должны уделять приоритетное внимание закреплению известных безопасных версий в файлах конфигурации проекта, избегая автоматической установки обновлений без предварительной проверки. Эти методы помогают ограничить поверхность атаки в цепочках поставок программного обеспечения.

Сообщество безопасности продолжает следить за этим делом, чтобы составить карту возможных жертв и усовершенствовать инструменты обнаружения. На сегодняшний день нет публичных сообщений о крупномасштабной эксплуатации, но единогласно рекомендуется рассматривать любую установку уязвимых версий как полную компрометацию задействованной системы.