Atacul Axios asupra NPM injectează RAT și compromite mii de dezvoltatori

Populara bibliotecă Axios, folosită în numeroase proiecte JavaScript pentru a efectua solicitări HTTP, a înregistrat un atac al lanțului de aprovizionare care a compromis două versiuni specifice publicate în registrul NPM. Investigadores de la StepSecurity a identificat versiunile 1.14.1 și 0.30.4 ca fiind rău intenționate, publicate la primele ore ale zilei de 31 martie 2026. Pachetele au injectat o dependență falsă care rulează un script de instalare capabil să instaleze un troian de acces la distanță pe mașinile dezvoltate.

Incidentul a scos la iveală vastul ecosistem de dezvoltare care depinde de bibliotecă, unul dintre cele mai descărcate de pe platformă cu peste 100 de milioane de descărcări săptămânale. Atacatorii nu au schimbat codul de bază al lui Axios, ci au adăugat o dependență ascunsă numită plain-crypto-js@4.2.1. Dependența Essa este activată automat când rulează instalarea npm, instalând încărcături utile specifice pentru Windows, macOS și Linux.

Cum a fost compromis contul de întreținere

Cei responsabili de atac au obținut acces la contul NPM al principalului întreținător al proiectului, identificat drept jasonsaayman. Eles a schimbat adresa de e-mail asociată înifstap@proton.meși a publicat manual versiunile compromise, ocolind fluxurile automate de integrare continuă ale depozitului pe GitHub. Prima versiune rău intenționată, axios@1.14.1, a fost lansată în jurul orei 00:21 UTC, urmată de axios@0.30.4 aproximativ 39 de minute mai târziu.

Această abordare a permis ca pachetele să fie disponibile fără a declanșa verificări de semnătură sau procese CI/CD obișnuite. Menținerii Axios au reacționat rapid după descoperire, iar NPM a eliminat ambele versiuni în câteva ore, limitând timpul de expunere la aproximativ două până la trei ore.

⚡ AVERTISMENT – Axios npm (83 de milioane de descărcări săptămânale) a fost compromisă, transformând instalările într-o cale de livrare a programelor malware.

Versiunile 1.14.1 și 0.30.4 au scos o dependență falsă care a eliminat un RAT multiplatform, apoi a șters dovezile. Published folosind acreditările de întreținere furate.

🔗What…pic.twitter.com/rBTiPGZmbr

—The Hacker News (@TheHackersNews)31 martie 2026

Detalii tehnice ale malware-ului injectat

Falsa dependență plain-crypto-js@4.2.1 nu a fost importată în niciun moment în codul original Axios, servind exclusiv pentru a executa un script postinstalare. Scriptul a acționat ca un dropper troian de acces la distanță, stabilind contactul cu un server de comandă și control pentru a descărca încărcături utile suplimentare adaptate fiecărui sistem de operare.

Tehnicile de ofuscare au fost folosite pentru a face analiza imediată dificilă, cu comenzi decodificate în timpul rulării. Após instalare reușită, malware-ul și-a eliminat propriile urme, înlocuind fișierul package.json cu o versiune curată pentru a evita detectarea în inspecțiile ulterioare ale folderului node_modules.

• Verificarea versiunilor afectate cu filtrarea comenzii npm list axios 1.14.1 sau 0.30.4
• Verificarea prezenței folderului node_modules/plain-crypto-js ca indicator de compromis
• Căutați artefacte, cum ar fi fișierele temporare în /tmp/ld.py sau echivalente pe alte sisteme

Măsuri de atenuare recomandate pentru dezvoltatori

Dezvoltatorii care au instalat versiunile 1.14.1 sau 0.30.4 ar trebui să ia în considerare mediul compromis și să ia măsuri imediate. Principala recomandare este să reveniți la versiunile securizate anterioare: axios@1.14.0 în cea mai recentă ramură sau axios@0.30.3 în versiunea moștenită.

Este esențial să eliminați dependența falsă, să efectuați o instalare curată cu indicatorul –ignore-scripts și să rotiți toate acreditările sensibile, inclusiv jetoanele NPM, cheile SSH, accesele la serviciul cloud și variabilele de mediu. În conductele de integrare continuă, adoptarea permanentă a parametrului care ignoră scripturile post-instalare ajută la prevenirea execuțiilor automate nedorite.

Leia Tambem

Noul test de baterie plasează Galaxy S26 Ultra înaintea iPhone 17 Pro Max în clasamentul global

Retailul digital reduce valoarea smartphone-ului Galaxy S25 5G cu bonusuri bancare și schimb de dispozitive

Adaptorul wireless CarPlay de la Amazon are o reducere de 50% și cote ridicate de aprobare din partea șoferilor

Impactul asupra ecosistemului de dezvoltare JavaScript

Axios se numără printre cele mai utilizate biblioteci din ecosistemul Node.js și din aplicațiile front-end, fiind o dependență directă sau indirectă a numeroase proiecte corporate și open source. Atacul evidențiază vulnerabilitatea inerentă a conturilor individuale de întreținere în pachetele foarte populare, chiar și atunci când codul de bază rămâne intact.

Experții în securitate notează că metoda utilizată demonstrează sofisticare operațională, cu pregătirea prealabilă a dependenței false într-o versiune curată înainte de a injecta sarcina utilă rău intenționată. Strategia Essa a complicat detectările automate inițiale și a crescut riscul în perioada scurtă în care versiunile au fost disponibile.

Orientări pentru verificarea și curățarea mediilor afectate

Echipele de dezvoltare trebuie să auditeze jurnalele de instalare și istoricul pachetelor pentru a identifica dacă au fost descărcate versiuni rău intenționate. Prezența folderului plain-crypto-js în node_modules servește ca un indicator puternic că dropper-ul a fost executat, indiferent de eliminarea ulterioară a fișierului.

După curățare, se recomandă scanarea completă a sistemelor cu instrumente de detectare a amenințărilor și monitorizarea conexiunilor de rețea la adresele asociate cu serverul de control. Actualizarea imediată a politicilor de securitate din depozitele private ajută, de asemenea, la reducerea riscurilor similare din alte pachete.

Prevenirea atacurilor viitoare asupra jurnalelor de pachete

Incidentul consolidează importanța unor măsuri precum autentificarea strictă cu mai mulți factori pentru publicarea conturilor, monitorizarea continuă a modificărilor aduse metadatelor pachetului și adoptarea unor verificări mai solide de integritate. Projetos sistemele open source cu o adopție ridicată pot lua în considerare procese de revizuire suplimentare înainte de noile versiuni.

Dezvoltatorii individuali și companiile ar trebui să acorde prioritate fixarii versiunilor sigure cunoscute în fișierele de configurare a proiectului, evitând instalarea automată a actualizărilor fără validare prealabilă. Practicile Essas ajută la limitarea suprafeței de atac în lanțurile de aprovizionare software.

Comunitatea de securitate continuă să monitorizeze cazul pentru a cartografi posibilele victime și a perfecționa instrumentele de detectare. Até În acest moment, nu există rapoarte publice de exploatare pe scară largă, dar recomandarea unanimă este de a trata orice instalare a versiunilor afectate ca pe un compromis total al sistemului implicat.