News (SV)

Axios attack mot NPM injicerar RAT och äventyrar tusentals utvecklare

Av Redação Mix Vale 31 mars 2026 6 min de leitura
WhatsApp Twitter Facebook Seguir no Google E-mail
Axios
Foto: Axios - reprodução x

Det populära Axios-biblioteket, som används i många JavaScript-projekt för att utföra HTTP-förfrågningar, registrerade en supply chain-attack som äventyrade två specifika versioner publicerade i NPM-registret. Investigadores från StepSecurity identifierade version 1.14.1 och 0.30.4 som skadlig, publicerad tidigt den 31 mars 2026. Paketen injicerade ett falskt beroende som kör ett installationsskript som kan installera en fjärråtkomsttrojan på utvecklarmaskiner.

Incidenten avslöjade det enorma utvecklingsekosystemet som är beroende av biblioteket, ett av de mest nedladdade på plattformen med mer än 100 miljoner nedladdningar per vecka. Angriparna ändrade inte kärnkoden för Axios, utan lade till ett dolt beroende som heter plain-crypto-js@4.2.1. Essa-beroende aktiveras automatiskt när man kör npm-installation, installation av specifika nyttolaster för Windows, macOS och Linux.

Hur underhållskontot äventyras

De ansvariga för attacken fick tillgång till NPM-kontot för projektets huvudansvarige, identifierad som jasonsaayman. Eles ändrade den associerade e-postadressen tillifstap@proton.meoch manuellt publicerade de komprometterade versionerna, förbi förvarets automatiserade kontinuerliga integrationsflöden på GitHub. Den första skadliga versionen, axios@1.14.1, släpptes runt 00:21 UTC, följt av axios@0.30.4 ungefär 39 minuter senare.

Detta tillvägagångssätt gjorde det möjligt för paket att göras tillgängliga utan att utlösa signaturkontroller eller vanliga CI/CD-processer. Axios-underhållare reagerade snabbt på upptäckten och NPM tog bort båda versionerna inom några timmar, vilket begränsade exponeringstiden till cirka två till tre timmar.

Tekniska detaljer om den injicerade skadliga programvaran

Det falska beroendet plain-crypto-js@4.2.1 importerades inte vid något tillfälle i den ursprungliga Axios-koden, och tjänade uteslutande för att exekvera ett efterinstallationsskript. Skriptet fungerade som en fjärråtkomst för trojaner, och etablerade kontakt med en kommando- och kontrollserver för att ladda ner ytterligare nyttolaster skräddarsydda för varje operativsystem.

Obfuskeringstekniker användes för att göra omedelbar analys svår, med kommandon som avkodades vid körning. Após lyckad installation, skadlig programvara tog bort sina egna spår och ersatte filen package.json med en ren version för att undvika upptäckt vid senare inspektioner av mappen node_modules.

  • Söker efter påverkade versioner med npm list axios kommandofiltrering 1.14.1 eller 0.30.4
  • Kontrollera närvaron av mappen node_modules/plain-crypto-js som en indikator på kompromiss
  • Sök efter artefakter som temporära filer i /tmp/ld.py eller motsvarande på andra system

Rekommenderade begränsningsåtgärder för utvecklare

Utvecklare som har installerat version 1.14.1 eller 0.30.4 bör betrakta miljön som äventyrad och vidta omedelbara åtgärder. Huvudrekommendationen är att återgå till de tidigare säkra versionerna: axios@1.14.0 i den senaste grenen eller axios@0.30.3 i den äldre versionen.

Det är viktigt att ta bort det falska beroendet, utföra en ren installation med flaggan –ignore-scripts och rotera alla känsliga referenser, inklusive NPM-tokens, SSH-nycklar, molntjänståtkomster och miljövariabler. I kontinuerliga integrationspipelines hjälper permanent antagande av parametern som ignorerar skript efter installationen att förhindra oönskade automatiska körningar.

Leia Tambem
Colby Minifie bekräftar Ashley Barretts krafter i The Boys säsong fem

Colby Minifie bekräftar Ashley Barretts krafter i The Boys säsong fem

Napoli x Milan i Serie A med bekräftade laguppställningar och var man kan se live

Napoli x Milan i Serie A med bekräftade laguppställningar och var man kan se live

Forskning visar att föräldrar är omedvetna om hur deras barn använder artificiell intelligens

Forskning visar att föräldrar är omedvetna om hur deras barn använder artificiell intelligens

Inverkan på JavaScript-utvecklingsekosystemet

Axios är ett av de mest använda biblioteken i Node.js-ekosystemet och i front-end-applikationer, och är ett direkt eller indirekt beroende av många företagsprojekt och projekt med öppen källkod. Attacken belyser den inneboende sårbarheten hos enskilda underhållarkonton i mycket populära paket, även när kärnkoden förblir intakt.

Säkerhetsexperter noterar att den använda metoden demonstrerar operativ sofistikering, med förberedelse av det falska beroendet i en ren version innan den skadliga nyttolasten injiceras. Essa-strategin komplicerade initiala automatiska upptäckter och ökade risken under den korta period som versionerna var tillgängliga.

Riktlinjer för kontroll och rengöring av påverkade miljöer

Utvecklingsteam måste granska installationsloggar och pakethistorik för att identifiera om skadliga versioner har laddats ner. Förekomsten av mappen plain-crypto-js i node_modules fungerar som en stark indikator på att dropparen exekveras, oavsett senare filborttagning.

Efter rengöring rekommenderas att fullständigt genomsöka system med verktyg för upptäckt av hot och övervaka nätverksanslutningar till adresser som är associerade med kontrollservern. Att omedelbart uppdatera säkerhetspolicyer i privata arkiv hjälper också till att minska liknande risker i andra paket.

Förhindra framtida attacker på paketloggar

Incidenten förstärker vikten av åtgärder som strikt multifaktorautentisering på publiceringskonton, kontinuerlig övervakning av ändringar i paketmetadata och antagande av mer robusta integritetskontroller. Projetos system med öppen källkod med hög användning kan överväga ytterligare granskningsprocesser innan nya utgåvor.

Enskilda utvecklare och företag bör prioritera att fästa kända säkra versioner i projektkonfigurationsfiler och undvika automatisk installation av uppdateringar utan föregående validering. Essas-praxis hjälper till att begränsa attackytan i mjukvaruförsörjningskedjor.

Säkerhetsgemenskapen fortsätter att övervaka ärendet för att kartlägga möjliga offer och förfina upptäcktsverktyg. Até För närvarande finns det inga offentliga rapporter om storskalig exploatering, men den enhälliga rekommendationen är att behandla alla installationer av de berörda versionerna som en total kompromiss av det inblandade systemet.