Angrep på Axios-distribusjon på NPM kompromitterer pakker og påvirker enorme utviklingsøkosystemer

npm-kontoen til en Axios-vedlikeholder var målet for et nettangrep 31. mars 2026, noe som resulterte i publisering av to ondsinnede versjoner av den populære npm-pakken (v1.14.1 og v0.30.4). Este-hendelsen introduserte en avhengighet for `plain-crypto-js`, en ny trojanisert pakke, som genererer en betydelig sårbarhet i programvareforsyningskjeden.

Selv om de kompromitterte versjonene ble fjernet umiddelbart i løpet av timer, gjorde den utbredte bruken av Axios – tilstede i omtrent 80 % av sky- og kodemiljøene, og med omtrent 100 millioner ukentlige nedlastinger – rask eksponering. Observou skadelig programvare ble utført i 3 % av berørte miljøer før trusselen ble fullstendig begrenset.

Organisasjoner over hele verden rådes nå sterkt til å gjennomføre strenge revisjoner av systemene deres for å identifisere mulig utførelse av disse kompromitterte versjonene, sporet av ID-ene GHSA-fw8c-xr5c-95f9 og MAL-2026-2306, og iverksette umiddelbare korrigerende tiltak for å redusere risikoen.

Brudddetaljer og skadelige pakker

De uredelige versjonene av Axios ble differensiert fra de legitime ved å inkludere en direkte avhengighet av `plain-crypto-js`, en pakke som spesifikt ble opprettet med ondsinnet hensikt. Essas Kompromitterte redigeringer ble introdusert direkte i npm-registeret via en brutt vedlikeholdskonto, og ble senere fjernet etter at feilen raskt ble oppdaget.

Selv med et relativt kort eksponeringsvindu, har den høye forekomsten av Axios i utviklingssamfunnet resultert i betydelig spredning, som kulminerte i målbare kjøringer av den ondsinnede koden i forskjellige miljøer. Essa-situasjonen understreker hastigheten som forsyningskjedeangrep kan forplante seg med, selv med raske inneslutningsreaksjoner.

Infeksjonsmekanismer og typer skadelig programvare

Den ondsinnede pakken inneholder en dropper, identifisert som `setup.js`, som har funksjonen til å laste ned og utføre plattformspesifikke andrefase-nyttelaster fra serveren `sfrclak.com:8000`. Após utfører dropperen selvrensende, fjerner og gjenoppretter en ren `package.json`-fil, med sikte på å gjøre deteksjon vanskeligere. De sekundære nyttelastene fungerer som lette fjerntilgangstrojanere (RAT), som kommuniserer med kommando- og kontrollserveren (C2) hvert 60. sekund, sender systeminventar og venter på instruksjoner. Embora Selv om de tre variantene implementerer lignende funksjonalitet – inkludert eksternt skallutførelse, binær injeksjon, katalogsurfing, prosessoppføring og systembevissthet – er de forskjellige i implementeringen for hvert operativsystem. På macOS er nyttelasten en universell binær Mach-O kompilert i C++, i stand til å signere nyttelaster injisert gjennom codesign. No Windows, nyttelasten er et PowerShell-skript som etablerer utholdenhet via en Run (MicrosoftUpdate) registernøkkel og en batchfil som kan lastes ned på nytt. Já på Linux, nyttelasten leveres som et Python-skript, som demonstrerer angripernes allsidighet når det gjelder målretting mot forskjellige plattformer.

Hastehandlinger for sikkerhetsteam

Gitt alvorlighetsgraden av hendelsen, må sikkerhetsteam prioritere en rekke umiddelbare handlinger. Det er avgjørende å revidere bruken av Axios for å identifisere om de berørte versjonene (1.14.1 eller 0.30.4) har blitt lastet ned eller kjørt hvor som helst i utviklings- eller produksjonsmiljøet.

Hvis det er noen indikasjon på utførelse av ondsinnede pakker, må forutsetningen være at legitimasjonen har blitt kompromittert. Recomenda Skann berørte systemer for hemmeligheter, for eksempel miljøvariabler, API-nøkler og tilgangstokener, og roter disse legitimasjonene.

I tillegg er det viktig å undersøke mulige veier for kompromiss. Teamene bør gjennomgå byggerørledninger og utviklermaskiner for tegn på uautorisert tilgang eller vedvarende, ettersom skadelig programvare kan ha forplantet seg under installasjonen og kompromittert oppstrøms forsyningskjeden.

Kontinuerlig årvåkenhet er avgjørende, med overvåking for mistenkelig aktivitet, inkludert utgående tilkoblinger til `sfrclak.com:8000`. Também Det er viktig å analysere logger for beaconing-atferd, unormale HTTP POST-forespørsler eller uventede prosesskjøringer relatert til pakkeinstallasjon.

Nøkkelidentifikatorer for kompromiss (IOCs)

Nøyaktig identifikasjon av skadelige artefakter er avgjørende for å redusere hendelser og reagere. Diversos-indikatorer for kompromiss er katalogisert for å hjelpe organisasjoner med å oppdage eksponeringer og infeksjoner.

Leia Tambem

Ny batteritest setter Galaxy S26 Ultra foran iPhone 17 Pro Max i global rangering

Forskning viser at foreldre ikke er klar over hvordan barna deres bruker kunstig intelligens

Samsung slipper ny systemoppdatering med nye funksjoner for Galaxy Watch 4-brukere

Blant pakkene som er kompromittert i første fase, skiller `axios-0.30.4.tgz` (SHA256: 59336a964f110c25c112bcc5adca7090296b54ab33fa95c0744b94f8a0d80axios.z1 ut) og `112bcc5adca7090296b54ab33fa95c0744b94f8a0d80axios.z1 ut) (SHA256: 5bb67e88846096f1f8d42a0f0350c9c46260591567612ff9af46f98d1b7571cd), begge representerer den innledende fasen av angrepet via npm-pakker.

Den skadelige pakken i trinn 1.5, den trojaniserte `plain-crypto-js-4.2.1.tgz`, har SHA256-hashen: 58401c195fe0a6204b42f5f90995ece5fab74ce7c69c67a24c321a0567a24c321a056. Este-komponenten er kritisk, siden det var avhengigheten som introduserte den ondsinnede koden i systemene.

Nyttelaster i andre fase ble også identifisert: for macOS, den binære for og for Linux, Python-skriptet `ld.py` (SHA256: fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af1235a9400af1235a8400037bcf).

Andre viktige IOC inkluderer:

Respons og forebygging av angrep i forsyningskjeden

Rask oppdagelse og fjerning av ondsinnede versjoner av Axios, selv om de er avgjørende, eliminerer ikke behovet for dypere analyse av robustheten til programvareforsyningskjeder. Incidentes som dette forsterker viktigheten av proaktive sikkerhetsstrategier, som går utover bare reaksjonen på allerede fullførte angrep. Desenvolvedores og organisasjoner må implementere robuste tiltak for å sikre arbeidsflytene deres, fra innledende koding til endelig levering, for å sikre integriteten til hver komponent.

Sikkerhet i forsyningskjeden avhenger av en mangefasettert tilnærming, inkludert å ta i bruk sterk multifaktorautentisering (MFA) for alle utvikler- og pakkevedlikeholdskontoer, strenge kodegjennomganger og bruk av automatiserte avhengighetsskanningsverktøy. Essas-praksis hjelper til med å identifisere og redusere sårbarheter før de kan utnyttes av ondsinnede aktører, og skaper en mer effektiv barriere mot fremtidige kompromissforsøk.

Evolusjon av sikkerhet i pakkeforvaltere

Trussellandskapet for pakkeforvaltere som NPM er i stadig utvikling, og krever at plattformer og utviklerfellesskapet kontinuerlig tilpasser seg. Bevisstheten om forsyningskjedesikkerhet har økt dramatisk de siste årene, noe som har ført til forbedringer i retningslinjer og deteksjonsverktøy.

Samarbeid mellom vedlikeholdere, sikkerhetsselskaper og selve NPM-plattformen er avgjørende for å styrke forsvaret. Isso inkluderer implementering av strengere sikkerhetssjekker for nye pakker og oppdateringer, i tillegg til å spre beste praksis blant brukere og bidragsytere i open source-fellesskapet.

Pågående tiltak for utviklere

For å sikre kontinuerlig sikkerhet, må utviklere opprettholde årvåken oppførsel. Isso inkluderer å sjekke autentisiteten og omdømmet til nye pakker før de integreres i prosjekter og foretrekker veletablerte og aktivt vedlikeholdte avhengigheter.