Angreb på Axios-distribution på NPM kompromitterer pakker og påvirker et stort udviklingsøkosystem

npm-kontoen for en Axios-vedligeholder var målet for et cyberangreb den 31. marts 2026, hvilket resulterede i udgivelsen af ​​to ondsindede versioner af den populære npm-pakke (v1.14.1 og v0.30.4). Este hændelse introducerede en afhængighed for `plain-crypto-js`, en ny trojaniseret pakke, der genererer en betydelig sårbarhed i softwareforsyningskæden.

Selvom de kompromitterede versioner blev fjernet omgående inden for få timer, lettede den udbredte brug af Axios – til stede i cirka 80 % af cloud- og kodemiljøer, og med cirka 100 millioner ugentlige downloads – hurtig eksponering. Observou malware blev udført i 3 % af de berørte miljøer, før truslen var fuldstændig indesluttet.

Organisationer over hele verden rådes nu kraftigt til at udføre strenge revisioner af deres systemer for at identificere enhver mulig udførelse af disse kompromitterede versioner, sporet af ID’erne GHSA-fw8c-xr5c-95f9 og MAL-2026-2306, og træffe øjeblikkelige korrigerende foranstaltninger for at mindske risici.

Overtrædelsesdetaljer og ondsindede pakker

De svigagtige versioner af Axios blev adskilt fra de legitime ved at inkludere en direkte afhængighed af `plain-crypto-js`, en pakke, der specifikt blev oprettet med ondsindet hensigt. Essas Kompromitterede redigeringer blev indført direkte i npm-registret via en brudt vedligeholdelseskonto og blev senere fjernet, efter at fejlen hurtigt blev opdaget.

Selv med et relativt kort eksponeringsvindue har den høje udbredelse af Axios i udviklingssamfundet resulteret i en betydelig spredning, der kulminerer i målbare eksekveringer af den ondsindede kode i forskellige miljøer. Essa-situationen understreger den hastighed, hvormed forsyningskædeangreb kan forplante sig, selv med hurtige indeslutningsreaktioner.

Infektionsmekanismer og typer af malware

Den ondsindede pakke indeholder en dropper, identificeret som `setup.js`, som har funktionen til at downloade og udføre platformspecifikke andenfase-nyttelaster fra serveren `sfrclak.com:8000`. Após udfører dropperen selvrensning, fjerner og genopretter en ren `package.json`-fil, med det formål at gøre detektion vanskeligere. De sekundære nyttelaster fungerer som lette fjernadgangstrojanske heste (RAT’er), der kommunikerer med kommando- og kontrolserveren (C2) hvert 60. sekund, sender systeminventar og afventer instruktioner. Embora Selvom de tre varianter implementerer lignende funktionalitet – inklusive fjernudførelse af shell, binær indsprøjtning, browsing af mapper, proceslister og systembevidsthed – er de forskellige i deres implementering for hvert operativsystem. På macOS er nyttelasten en universel binær Mach-O kompileret i C++, der er i stand til at signere nyttelaster injiceret gennem codesign. No Windows, nyttelasten er et PowerShell-script, der etablerer persistens via en Run (MicrosoftUpdate) registreringsnøgle og en gen-download batchfil. Já på Linux, nyttelasten leveres som et Python script, der demonstrerer angriberes alsidighed i at målrette mod forskellige platforme.

Hastehandlinger for sikkerhedsteams

I betragtning af hændelsens alvor skal sikkerhedsteams prioritere en række øjeblikkelige handlinger. Det er afgørende at revidere brugen af ​​Axios for at identificere, om de berørte versioner (1.14.1 eller 0.30.4) er blevet downloadet eller kørt hvor som helst i udviklings- eller produktionsmiljøet.

Hvis der er nogen indikation af eksekvering af ondsindede pakker, skal forudsætningen være, at legitimationsoplysningerne er blevet kompromitteret. Recomenda Scan berørte systemer for hemmeligheder, såsom miljøvariabler, API-nøgler og adgangstokens, og roter disse legitimationsoplysninger.

Derudover er det bydende nødvendigt at undersøge mulige veje til kompromis. Hold bør gennemgå byggepipelines og udviklermaskiner for tegn på uautoriseret adgang eller persistens, da malware kan have spredt sig under installationen og kompromitteret opstrømsforsyningskæden.

Løbende årvågenhed er afgørende med overvågning for mistænkelig aktivitet, herunder udgående forbindelser til `sfrclak.com:8000`. Também Det er vigtigt at analysere logfiler for beaconing-adfærd, unormale HTTP POST-anmodninger eller uventede procesudførelser relateret til pakkeinstallation.

Nøgleidentifikatorer for kompromis (IOC’er)

Nøjagtig identifikation af ondsindede artefakter er afgørende for hændelsesreduktion og respons. Diversos indikatorer for kompromis er blevet katalogiseret for at hjælpe organisationer med at opdage eksponeringer og infektioner.

Leia Tambem

Colby Minifie bekræfter Ashley Barretts kræfter i The Boys sæson fem

Ny batteritest sætter Galaxy S26 Ultra foran iPhone 17 Pro Max på den globale rangliste

Samsung udgiver ny systemopdatering med nye funktioner til Galaxy Watch 4-brugere

Blandt de kompromitterede pakker i første fase står `axios-0.30.4.tgz` (SHA256: 59336a964f110c25c112bcc5adca7090296b54ab33fa95c0744b94f8a0d80axios.z1 og `110c25c112bcc5adca7090296b54ab33fa95c0744b94f8a0d80axios.z1) og `1. (SHA256: 5bb67e88846096f1f8d42a0f0350c9c46260591567612ff9af46f98d1b7571cd), begge repræsenterer den indledende fase af angrebet via npm-pakker.

Den skadelige fase 1.5-pakke, den trojanske `plain-crypto-js-4.2.1.tgz`, har SHA256-hashen: 58401c195fe0a6204b42f5f90995ece5fab74ce7c69c67a24c321a0567a0567. Este-komponenten er kritisk, da det var afhængigheden, der introducerede den uhyggelige kode i systemerne.

Anden fase nyttelaster blev også identificeret: for macOS, den binære for og for Linux, Python scriptet “ld.py” (SHA256: fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af1235a9400af1235a9400f1235a98400).

Andre vigtige IOC’er inkluderer:

Respons og forebyggelse af angreb i forsyningskæden

Hurtig detektion og fjernelse af ondsindede versioner af Axios, selvom det er afgørende, eliminerer ikke behovet for dybere analyse af robustheden af ​​softwareforsyningskæder. Incidentes som dette forstærker vigtigheden af ​​proaktive sikkerhedsstrategier, som rækker ud over den blotte reaktion på allerede gennemførte angreb. Desenvolvedores og organisationer skal implementere robuste foranstaltninger for at sikre deres arbejdsgange, fra indledende kodning til endelig levering, for at sikre integriteten af ​​hver komponent.

Supply chain-sikkerhed afhænger af en mangefacetteret tilgang, herunder vedtagelse af stærk multi-factor authentication (MFA) for alle udvikler- og pakkevedligeholderkonti, strenge kodegennemgange og brug af automatiserede afhængighedsscanningsværktøjer. Essas-praksis hjælper med at identificere og afbøde sårbarheder, før de kan udnyttes af ondsindede aktører, hvilket skaber en mere effektiv barriere mod fremtidige kompromisforsøg.

Udvikling af sikkerhed i pakkeadministratorer

Trussellandskabet for pakkeadministratorer som NPM udvikler sig konstant, hvilket kræver, at platforme og udviklerfællesskabet løbende tilpasser sig. Bevidstheden om forsyningskædesikkerhed er steget dramatisk i de seneste år, hvilket har ført til forbedringer i politikker og detektionsværktøjer.

Samarbejde mellem vedligeholdere, sikkerhedsfirmaer og selve NPM-platformen er afgørende for at styrke forsvaret. Isso omfatter implementering af strengere sikkerhedstjek for nye pakker og opdateringer, samt spredning af bedste praksis blandt brugere og bidragydere i open source-fællesskabet.

Løbende foranstaltninger for udviklere

For at sikre løbende sikkerhed skal udviklere opretholde en årvågen adfærd. Isso omfatter kontrol af ægtheden og omdømmet af nye pakker, før de integreres i projekter og foretrækker veletablerede og aktivt vedligeholdte afhængigheder.