News (NO)

Axios angrep på NPM injiserer RAT og kompromitterer tusenvis av utviklere

Av Redação Mix Vale 31 mars 2026 5 min de leitura
WhatsApp Twitter Facebook Seguir no Google E-mail
Axios
Foto: Axios - reprodução x

Det populære Axios-biblioteket, brukt i en rekke JavaScript-prosjekter for å utføre HTTP-forespørsler, registrerte et forsyningskjedeangrep som kompromitterte to spesifikke versjoner publisert i NPM-registeret. Investigadores fra StepSecurity identifiserte versjon 1.14.1 og 0.30.4 som skadelig, publisert tidlig 31. mars 2026. Pakkene injiserte en falsk avhengighet som kjører et installasjonsskript som er i stand til å installere en fjerntilgangstrojan på utviklermaskiner.

Hendelsen avslørte det enorme utviklingsøkosystemet som avhenger av biblioteket, et av de mest nedlastede på plattformen med mer enn 100 millioner ukentlige nedlastinger. Angriperne endret ikke kjernekoden til Axios, men la til en skjult avhengighet kalt plain-crypto-js@4.2.1. Essa-avhengighet aktiveres automatisk når du kjører npm-installasjon, og installerer spesifikke nyttelaster for Windows, macOS og Linux.

Hvordan vedlikeholdskontoen ble kompromittert

De ansvarlige for angrepet fikk tilgang til NPM-kontoen til prosjektets viktigste vedlikeholder, identifisert som jasonsaayman. Eles endret den tilknyttede e-postadressen tilifstap@proton.meog manuelt publiserte de kompromitterte versjonene, og omgå depotets automatiserte kontinuerlige integrasjonsflyter på GitHub. Den første ondsinnede versjonen, axios@1.14.1, ble utgitt rundt 00:21 UTC, etterfulgt av axios@0.30.4 omtrent 39 minutter senere.

Denne tilnærmingen gjorde det mulig å gjøre pakker tilgjengelige uten å utløse signaturkontroller eller vanlige CI/CD-prosesser. Axios vedlikeholdere reagerte raskt ved oppdagelse, og NPM fjernet begge versjonene i løpet av timer, noe som begrenset eksponeringstiden til omtrent to til tre timer.

Tekniske detaljer om injisert skadelig programvare

Den falske avhengigheten plain-crypto-js@4.2.1 ble ikke importert på noe tidspunkt i den originale Axios-koden, og tjente utelukkende til å utføre et postinstall-skript. Skriptet fungerte som en trojaner med fjerntilgang, og etablerte kontakt med en kommando- og kontrollserver for å laste ned ytterligere nyttelast skreddersydd for hvert operativsystem.

Tilsløringsteknikker ble brukt for å gjøre umiddelbar analyse vanskelig, med kommandoer dekodet under kjøring. Após vellykket installasjon, skadelig programvare fjernet sine egne spor, og erstattet filen package.json med en ren versjon for å unngå oppdagelse i senere inspeksjoner av node_modules-mappen.

  • Se etter berørte versjoner med npm list axios kommandofiltrering 1.14.1 eller 0.30.4
  • Kontrollerer tilstedeværelsen av node_modules/plain-crypto-js-mappen som en indikator på kompromiss
  • Søk etter artefakter som midlertidige filer i /tmp/ld.py eller tilsvarende på andre systemer

Anbefalte avbøtende tiltak for utbyggere

Utviklere som har installert versjon 1.14.1 eller 0.30.4 bør vurdere miljøet som kompromittert og iverksette tiltak umiddelbart. Hovedanbefalingen er å gå tilbake til de tidligere sikre versjonene: axios@1.14.0 i den siste grenen eller axios@0.30.3 i den eldre versjonen.

Det er viktig å fjerne den falske avhengigheten, utføre en ren installasjon med flagget –ignore-scripts, og rotere alle sensitive legitimasjoner, inkludert NPM-tokens, SSH-nøkler, skytjenestetilganger og miljøvariabler. I kontinuerlige integrasjonspipelines hjelper permanent bruk av parameteren som ignorerer skript etter installasjon, å forhindre uønskede automatiske kjøringer.

Leia Tambem
Ny batteritest setter Galaxy S26 Ultra foran iPhone 17 Pro Max i global rangering

Ny batteritest setter Galaxy S26 Ultra foran iPhone 17 Pro Max i global rangering

Forskning viser at foreldre ikke er klar over hvordan barna deres bruker kunstig intelligens

Forskning viser at foreldre ikke er klar over hvordan barna deres bruker kunstig intelligens

Samsung slipper ny systemoppdatering med nye funksjoner for Galaxy Watch 4-brukere

Samsung slipper ny systemoppdatering med nye funksjoner for Galaxy Watch 4-brukere

Innvirkning på JavaScript-utviklingsøkosystemet

Axios er blant de mest brukte bibliotekene i Node.js-økosystemet og i front-end-applikasjoner, og er en direkte eller indirekte avhengighet av en rekke bedrifts- og åpen kildekodeprosjekter. Angrepet fremhever den iboende sårbarheten til individuelle vedlikeholderkontoer i svært populære pakker, selv når kjernekoden forblir intakt.

Sikkerhetseksperter bemerker at metoden som brukes demonstrerer operasjonell sofistikering, med forhåndspreparering av den falske avhengigheten i en ren versjon før den skadelige nyttelasten injiseres. Essa-strategi kompliserte innledende automatiske deteksjoner og økte risiko i løpet av den korte perioden versjonene var tilgjengelige.

Retningslinjer for kontroll og rengjøring av berørte miljøer

Utviklingsteam må revidere installasjonslogger og pakkehistorikk for å identifisere om skadelige versjoner ble lastet ned. Tilstedeværelsen av plain-crypto-js-mappen i node_modules fungerer som en sterk indikator på at dropperen ble utført, uavhengig av senere filfjerning.

Etter rengjøring anbefales det å fullskanne systemer med trusseldeteksjonsverktøy og overvåke nettverkstilkoblinger til adresser knyttet til kontrollserveren. Umiddelbar oppdatering av sikkerhetspolicyer i private depoter bidrar også til å redusere lignende risikoer i andre pakker.

Forhindre fremtidige angrep på pakkelogger

Hendelsen forsterker viktigheten av tiltak som streng multifaktorautentisering på publiseringskontoer, kontinuerlig overvåking av endringer i pakkemetadata og innføring av mer robuste integritetssjekker. Projetos åpen kildekode-systemer med høy adopsjon kan vurdere ytterligere gjennomgangsprosesser før nye utgivelser.

Individuelle utviklere og selskaper bør prioritere å feste kjente sikre versjoner i prosjektkonfigurasjonsfiler, og unngå automatisk installasjon av oppdateringer uten forutgående validering. Essas-praksis bidrar til å begrense angrepsoverflaten i programvareforsyningskjeder.

Sikkerhetsmiljøet fortsetter å overvåke saken for å kartlegge mulige ofre og avgrense deteksjonsverktøy. Até På dette tidspunktet er det ingen offentlige rapporter om storskala utnyttelse, men den enstemmige anbefalingen er å behandle enhver installasjon av de berørte versjonene som et totalt kompromiss av det involverte systemet.