News (CEB)

Ang pag-atake sa Axios sa NPM nag-inject sa RAT ug nagkompromiso sa liboan ka mga developer

Por Redação Mix Vale 31 de março de 2026 6 min de leitura
WhatsApp Twitter Facebook Seguir no Google E-mail
Axios
Foto: Axios - reprodução x

Ang sikat nga Axios library, nga gigamit sa daghang mga proyekto sa JavaScript sa paghimo sa mga hangyo sa HTTP, nagrekord sa usa ka pag-atake sa kadena sa suplay nga nakakompromiso sa duha ka piho nga bersyon nga gipatik sa rehistro sa NPM. Giila sa Investigadores gikan sa StepSecurity ang mga bersyon 1.14.1 ug 0.30.4 nga malisyoso, nga gipatik sa sayong mga oras sa Marso 31, 2026. Ang mga pakete nag-inject sa peke nga dependency nga nagpadagan sa script sa pag-install nga makahimo sa pag-install sa usa ka remote access trojan sa mga makina sa developer.

Ang insidente nagbutyag sa halapad nga ekosistema sa pag-uswag nga nagdepende sa librarya, usa sa labing gi-download sa plataporma nga adunay labaw sa 100 ka milyon kada semana nga pag-download. Wala giusab sa mga tig-atake ang core code sa Axios, apan gidugang ang usa ka tinago nga pagsalig nga gitawag plain-crypto-js@4.2.1. Ang pagsalig sa Essa awtomatik nga gi-aktibo kung nagpadagan sa pag-install sa npm, pag-install sa piho nga mga payload alang sa Windows, macOS ug Linux.

Giunsa nakompromiso ang account sa maintenance

Kadtong responsable sa pag-atake nakaangkon og access sa NPM account sa nag-unang tigmentinar sa proyekto, nga giila nga jasonsaayman. Giusab sa Eles ang kaubang email address ngadto saifstap@proton.meug mano-mano nga gipatik ang mga nakompromiso nga mga bersyon, nga nag-bypass sa automated nga padayon nga pag-apil sa repository sa GitHub. Ang unang malisyoso nga bersyon, axios@1.14.1, gibuhian mga 00:21 UTC, gisundan sa axios@0.30.4 mga 39 ka minuto ang milabay.

Kini nga pamaagi nagtugot sa mga pakete nga magamit nga wala mag-trigger sa mga tseke sa pirma o naandan nga mga proseso sa CI/CD. Ang mga tigmentinar sa Axios dali nga nag-reaksyon sa dihang nadiskobrehan, ug gitangtang sa NPM ang duha ka bersyon sulod sa mga oras, gilimitahan ang oras sa pagkaladlad ngadto sa mga duha ngadto sa tulo ka oras.

Mga teknikal nga detalye sa gi-inject nga malware

Ang bakak nga pagsalig nga plain-crypto-js@4.2.1 wala gi-import sa bisan unsang punto sa orihinal nga Axios code, nagsilbi nga eksklusibo aron ipatuman ang usa ka postinstall nga script. Ang script naglihok isip usa ka remote access trojan dropper, nagtukod og kontak sa usa ka command ug control server aron maka-download og dugang nga mga payload nga gipahaum sa matag operating system.

Ang mga teknik sa obfuscation gigamit aron mahimong lisud ang dali nga pag-analisar, nga adunay mga mando nga gi-decode sa oras sa pagdagan. Após malampuson nga pag-install, ang malware nagtangtang sa kaugalingon nga mga pagsubay, gipulihan ang package.json file sa usa ka limpyo nga bersyon aron malikayan nga makit-an sa ulahi nga mga inspeksyon sa node_modules folder.

  • Pagsusi sa mga apektadong bersyon gamit ang npm list axios command filtering 1.14.1 o 0.30.4
  • Pagsusi sa presensya sa node_modules/plain-crypto-js folder isip timailhan sa pagkompromiso
  • Pangitaa ang mga artifact sama sa temporaryo nga mga file sa /tmp/ld.py o mga katumbas sa ubang mga sistema

Girekomenda nga mga lakang sa pagpaminus alang sa mga developer

Ang mga nag-develop nga nag-install sa mga bersyon 1.14.1 o 0.30.4 kinahanglan maghunahuna nga nakompromiso ang palibot ug molihok dayon. Ang nag-unang rekomendasyon mao ang pagbalik ngadto sa miaging luwas nga mga bersyon: axios@1.14.0 sa pinakabag-o nga branch o axios@0.30.3 sa legacy nga bersyon.

Mahinungdanon nga tangtangon ang peke nga pagsalig, paghimo usa ka limpyo nga pag-install gamit ang –ignore-scripts nga bandila, ug i-rotate ang tanan nga sensitibo nga mga kredensyal, lakip ang mga token sa NPM, mga yawe sa SSH, mga pag-access sa serbisyo sa panganod, ug mga variable sa palibot. Sa padayon nga integration pipelines, ang permanente nga pagsagop sa parameter nga wala magtagad sa post-installation scripts makatabang sa pagpugong sa dili gusto nga awtomatikong pagpatay.

Leia Tambem
Ang paglansad sa Xiaomi TV Stick HD 2 nagdala sa Google TV ug superyor nga pasundayag aron mabag-o ang mga telebisyon

Ang paglansad sa Xiaomi TV Stick HD 2 nagdala sa Google TV ug superyor nga pasundayag aron mabag-o ang mga telebisyon

Ang bag-ong global navigation model nagtul-id sa tinuig nga pagbakwit sa 36 km sa magnetic pole sa Yuta

Ang bag-ong global navigation model nagtul-id sa tinuig nga pagbakwit sa 36 km sa magnetic pole sa Yuta

Gitapos sa Nintendo Switch 2 ang libre nga GameChat ug nanginahanglan suskrisyon sa serbisyo sa online kaniadtong Abril

Gitapos sa Nintendo Switch 2 ang libre nga GameChat ug nanginahanglan suskrisyon sa serbisyo sa online kaniadtong Abril

Epekto sa JavaScript development ecosystem

Ang Axios usa sa labing gigamit nga mga librarya sa Node.js ecosystem ug sa mga front-end nga aplikasyon, nga usa ka direkta o dili direkta nga pagsalig sa daghang mga proyekto sa korporasyon ug bukas nga gigikanan. Gipasiugda sa pag-atake ang kinaiyanhon nga kahuyang sa mga indibidwal nga tigmentinar nga mga account sa labi ka sikat nga mga pakete, bisan kung ang kinauyokan nga code nagpabilin nga wala.

Ang mga eksperto sa seguridad nakamatikod nga ang pamaagi nga gigamit nagpakita sa operational sophistication, uban sa una nga pag-andam sa sayop nga pagsalig sa usa ka limpyo nga bersyon sa wala pa i-inject ang malisyoso nga payload. Ang Essa nga estratehiya nagkomplikado sa inisyal nga awtomatik nga pag-ila ug dugang nga risgo sa mubo nga panahon diin ang mga bersyon anaa.

Mga giya alang sa pagsusi ug paglimpyo sa mga apektadong palibot

Kinahanglang i-audit sa mga development team ang mga log sa pag-install ug kasaysayan sa package aron mailhan kung na-download ba ang mga malisyosong bersyon. Ang presensya sa plain-crypto-js nga folder sa node_modules nagsilbi nga usa ka lig-on nga timailhan nga ang dropper gipatay, bisan pa sa ulahi nga pagtangtang sa file.

Pagkahuman sa paglimpyo, girekomenda nga hingpit nga i-scan ang mga sistema nga adunay mga himan sa pag-ila sa hulga ug pag-monitor sa mga koneksyon sa network sa mga adres nga adunay kalabotan sa control server. Ang gilayon nga pag-update sa mga palisiya sa seguridad sa mga pribadong repository makatabang usab sa pagpakunhod sa susamang mga risgo sa ubang mga pakete.

Paglikay sa umaabot nga mga pag-atake sa packet logs

Ang insidente nagpalig-on sa kamahinungdanon sa mga lakang sama sa estrikto nga multi-factor authentication sa pagmantala sa mga account, padayon nga pagmonitor sa mga kausaban sa package metadata, ug pagsagop sa mas lig-on nga integridad nga pagsusi. Ang Projetos nga open source nga mga sistema nga adunay taas nga pagsagop mahimong magkonsiderar sa dugang nga mga proseso sa pagrepaso sa dili pa ang mga bag-ong pagpagawas.

Kinahanglang unahon sa mga indibidwal nga developer ug kompanya ang pag-pin sa nahibal-an nga luwas nga mga bersyon sa mga file sa pag-configure sa proyekto, paglikay sa awtomatikong pag-install sa mga update nga wala’y una nga pag-validate. Ang Essas nga mga praktis makatabang nga limitahan ang pag-atake sa mga kadena sa suplay sa software.

Ang komunidad sa seguridad nagpadayon sa pagmonitor sa kaso aron mapa ang posible nga mga biktima ug pagpino sa mga himan sa pag-ila. Até Niining panahona, wala’y publiko nga mga taho sa dinagkong pagpahimulos, apan ang nagkahiusang rekomendasyon mao ang pagtagad sa bisan unsang pag-instalar sa mga apektadong bersyon isip usa ka kinatibuk-ang pagkompromiso sa sistema nga nalangkit.