Axios-atako kontraŭ NPM injektas RAT kaj kompromitas milojn da programistoj

La populara biblioteko Axios, uzata en multaj JavaScript-projektoj por plenumi HTTP-petojn, registris provizoĉenan atakon, kiu kompromitis du specifajn versiojn publikigitajn en la NPM-registro. Investigadores de StepSecurity identigis versiojn 1.14.1 kaj 0.30.4 kiel malicajn, publikigitajn en la fruaj horoj de la 31-a de marto 2026. La pakaĵoj injektis falsan dependecon, kiu funkciigas instalan skripton kapablan instali foran alirtrojanon sur programistoj.

La okazaĵo elmontris la vastan evoluan ekosistemon kiu dependas de la biblioteko, unu el la plej elŝutitaj sur la platformo kun pli ol 100 milionoj semajnaj elŝutoj. La atakantoj ne ŝanĝis la kernkodon de Axios, sed aldonis kaŝitan dependecon nomitan plain-crypto-js@4.2.1. Essa-dependeco aktivigita aŭtomate dum funkciado de npm-instalo, instalante specifajn utilajn ŝarĝojn por Windows, macOS kaj Linux.

Kiel la bontena konto estis kompromitita

Tiuj respondecaj por la atako akiris aliron al la NPM-konto de la ĉefa prizorganto de la projekto, identigita kiel jasonsaayman. Eles ŝanĝis la rilatan retpoŝtadreson alifstap@proton.mekaj mane publikigis la kompromititajn versiojn, preterirante la aŭtomatigitajn kontinuajn integrigajn fluojn de la deponejo sur GitHub. La unua malica versio, axios@1.14.1, estis publikigita ĉirkaŭ 00:21 UTC, sekvita de axios@0.30.4 proksimume 39 minutojn poste.

Tiu aliro permesis al pakaĵoj esti haveblaj sen ekigado de signaturkontroloj aŭ kutimaj CI/KD-procezoj. Axios prizorgantoj reagis rapide post malkovro, kaj NPM forigis ambaŭ versiojn ene de horoj, limigante ekspontempon al proksimume du ĝis tri horoj.

⚡ AVERTO – Axios npm (83M semajnaj elŝutoj) estis endanĝerigita, igante instalaĵojn en malbon-programon.

Versioj 1.14.1 kaj 0.30.4 tiris falsan dependecon, kiu faligis transplatforman RAT, tiam forviŝis indicon. Published uzante ŝtelitajn akreditaĵojn de prizorganto.

🔗What…pic.twitter.com/rBTiPGZmbr

—The Hacker News (@TheHackersNews)31-a de marto , 2026

Teknikaj detaloj de la injektita malware

La falsa dependeco plain-crypto-js@4.2.1 neniel estis importita en la origina Axios-kodo, servante ekskluzive por ekzekuti postinstalan skripton. La skripto funkciis kiel fora aliro troja guto, establante kontakton kun komanda kaj kontrolservilo por elŝuti pliajn utilajn ŝarĝojn adaptitajn al ĉiu operaciumo.

Malklarigteknikoj kutimis igi tujan analizon malfacila, kun komandoj deĉifrite en rultempo. Após sukcesa instalado, la malware forigis siajn proprajn spurojn, anstataŭigante la package.json-dosieron per pura versio por eviti detekton en postaj inspektadoj de la dosierujo node_modules.

• Kontrolante tuŝitajn versiojn kun la npm list axios komando filtranta 1.14.1 aŭ 0.30.4
• Kontrolante la ĉeeston de la dosierujo node_modules/plain-crypto-js kiel indikilo de kompromiso
• Serĉu artefaktojn kiel provizorajn dosierojn en /tmp/ld.py aŭ ekvivalentojn en aliaj sistemoj

Rekomenditaj mildigaj mezuroj por programistoj

Programistoj, kiuj instalis versiojn 1.14.1 aŭ 0.30.4, devus konsideri la medion kompromitita kaj tuj agadi. La ĉefa rekomendo estas reveni al la antaŭaj sekuraj versioj: axios@1.14.0 en la plej nova branĉo aŭ axios@0.30.3 en la hereda versio.

Necesas forigi la falsan dependecon, fari puran instalon per la flago –ignore-scripts kaj turni ĉiujn sentivajn akreditaĵojn, inkluzive de NPM-ĵetonoj, SSH-ŝlosiloj, aliroj de nuba servo kaj medio-variabloj. En kontinuaj integrigaj duktoj, konstante adopti la parametron, kiu ignoras post-instalajn skriptojn, helpas malhelpi nedeziratajn aŭtomatajn ekzekutojn.

Leia Tambem

Nova tutmonda navigacia modelo korektas jaran movon de 36 km de la magneta poluso de la Tero

Lanĉo de Xiaomi TV Stick HD 2 alportas Google TV kaj superan rendimenton por transformi televidilojn

Nintendo Switch 2 finas senpagan GameChat kaj postulas abonon al la reta servo en aprilo

Efiko al la JavaScript-evolua ekosistemo

Axios estas inter la plej uzataj bibliotekoj en la ekosistemo Node.js kaj en antaŭfinaj aplikoj, estante rekta aŭ nerekta dependeco de multaj kompaniaj kaj malfermfontaj projektoj. La atako elstarigas la enecan vundeblecon de individuaj prizorgantoj en tre popularaj pakaĵoj, eĉ kiam la kernkodo restas sendifekta.

Sekurecaj fakuloj rimarkas, ke la metodo uzata montras funkcian sofistikecon, kun antaŭa preparado de la falsa dependeco en pura versio antaŭ injekti la malican utilan ŝarĝon. Essa-strategio malfaciligis komencajn aŭtomatajn detektojn kaj pliigis riskon dum la mallonga periodo en kiu la versioj estis haveblaj.

Gvidlinioj por kontroli kaj purigi tuŝitajn mediojn

Evoluigaj teamoj devas revizii instalajn protokolojn kaj pakhistorion por identigi ĉu malicaj versioj estis elŝutitaj. La ĉeesto de la dosierujo plain-crypto-js en node_modules servas kiel forta indikilo, ke la guto estis ekzekutita, sendepende de posta forigo de dosiero.

Post purigado, oni rekomendas plene skani sistemojn per minacaj detektaj iloj kaj monitori retajn konektojn al adresoj asociitaj kun la kontrolservilo. Tuj ĝisdatigi sekurecpolitikojn en privataj deponejoj ankaŭ helpas redukti similajn riskojn en aliaj pakaĵoj.

Malhelpi estontajn atakojn sur pakaj protokoloj

La okazaĵo plifortigas la gravecon de mezuroj kiel strikta plurfaktora aŭtentigo pri publikigado de kontoj, kontinua monitorado de ŝanĝoj al pakaĵmetadatenoj, kaj adoptado de pli fortikaj integreckontroloj. Projetos malfermfontaj sistemoj kun alta adopto povas konsideri pliajn reviziajn procezojn antaŭ novaj eldonoj.

Individuaj programistoj kaj kompanioj devus prioritati alpingli konatajn sekurajn versiojn en projektaj agordaj dosieroj, evitante aŭtomatan instaladon de ĝisdatigoj sen antaŭa validumado. Essas-praktikoj helpas limigi la ataksurfacon en programaraj provizoĉenoj.

La sekureca komunumo daŭre kontrolas la kazon por mapi eblajn viktimojn kaj rafini detektajn ilojn. Até Nuntempe, ne ekzistas publikaj raportoj pri grandskala ekspluatado, sed la unuanima rekomendo estas trakti ajnan instaladon de la tuŝitaj versioj kiel totalan kompromison de la sistemo engaĝita.