News (SU)

Serangan Axios dina NPM nyuntik RAT sareng kompromi rébuan pamekar

Por Redação Mix Vale 31 de março de 2026 5 min de leitura
WhatsApp Twitter Facebook Seguir no Google E-mail
Axios
Foto: Axios - reprodução x

Perpustakaan Axios populér, dipaké dina sababaraha proyék JavaScript pikeun nedunan requests HTTP, dirékam serangan ranté suplai nu compromised dua versi husus diterbitkeun dina pendaptaran NPM. Investigadores ti StepSecurity ngaidentipikasi versi 1.14.1 sareng 0.30.4 salaku jahat, diterbitkeun dina jam awal 31 Maret 2026. Bungkusan nyuntik dependensi palsu anu ngajalankeun skrip pamasangan anu sanggup masang trojan aksés jauh dina mesin pamekar.

Kajadian éta ngungkabkeun ékosistem pangembangan anu ageung anu gumantung kana perpustakaan, salah sahiji anu paling diunduh dina platform kalayan langkung ti 100 juta unduhan mingguan. Panyerang henteu ngarobih kode inti Axios, tapi nambihan kagumantungan disumputkeun anu disebut polos-crypto-js@4.2.1. Gumantungna Essa diaktipkeun sacara otomatis nalika ngajalankeun npm install, masang payloads khusus pikeun Windows, macOS sareng Linux.

Kumaha akun pangropéa dikompromi

Jalma anu tanggung jawab serangan éta ngagaduhan aksés kana akun NPM tina pangurus utama proyék, anu diidentifikasi minangka jasonsaayman. Eles robah alamat surélék pakait kanaifstap@proton.mesareng sacara manual nyebarkeun versi anu dikompromi, ngalangkungan aliran integrasi kontinyu otomatis dina GitHub. Versi jahat munggaran, axios@1.14.1, dileupaskeun sakitar 00:21 UTC, dituturkeun ku axios@0.30.4 kirang langkung 39 menit saatosna.

Pendekatan ieu ngamungkinkeun bungkusan disayogikeun tanpa memicu cek tanda tangan atanapi prosés CI / CD biasa. Axios maintainers diréaksikeun gancang kana kapanggihna, sarta NPM dihapus duanana versi dina sababaraha jam, ngawatesan waktu paparan ka ngeunaan dua nepi ka tilu jam.

Rincian téknis ngeunaan malware anu disuntik

kagumantungan palsu polos-crypto-js@4.2.1 teu diimpor iraha wae dina kode Axios aslina, porsi éksklusif pikeun ngaéksekusi skrip postinstall. Skrip bertindak salaku dropper trojan aksés jauh, ngadamel kontak sareng server paréntah sareng kontrol pikeun ngaunduh beban tambahan anu cocog pikeun unggal sistem operasi.

Téhnik obfuscation dipaké pikeun nyieun analisis langsung hésé, jeung paréntah decoded dina waktu ngajalankeun. Após pamasangan suksés, malware dihapus ngambah sorangan, ngaganti file package.json kalawan versi bersih pikeun nyegah deteksi dina inspeksi engké tina folder node_modules.

  • Mariksa versi anu kapangaruhan ku daptar npm paréntah axios nyaring 1.14.1 atanapi 0.30.4
  • Mariksa ayana folder node_modules/plain-crypto-js salaku indikator kompromi
  • Milarian artefak sapertos file samentawis dina /tmp/ld.py atanapi sarimbag dina sistem anu sanés

Disarankeun ukuran mitigasi pikeun pamekar

Pamekar anu masang vérsi 1.14.1 atanapi 0.30.4 kedah nganggap lingkunganana badami sareng nyandak tindakan langsung. Rekomendasi utama nyaéta balikkeun ka versi aman saméméhna: axios@1.14.0 dina cabang panganyarna atanapi axios@0.30.3 dina versi warisan.

Penting pikeun ngaleungitkeun kagumantungan palsu, laksanakeun pamasangan anu bersih sareng bendera –ignore-scripts, sareng puterkeun sadaya kredensial sénsitip, kalebet token NPM, konci SSH, aksés jasa awan, sareng variabel lingkungan. Dina pipelines integrasi kontinyu, permanén ngadopsi parameter nu ignores Aksara pos-instalasi mantuan nyegah executions otomatis nu teu dihoyongkeun.

Leia Tambem
Tim Cook ngungkabkeun prototipe iPhone sareng iPod énggal dina perayaan ulang taun kalima puluh Apple

Tim Cook ngungkabkeun prototipe iPhone sareng iPod énggal dina perayaan ulang taun kalima puluh Apple

Oppo sacara resmi ngaluncurkeun Find X9 Ultra di sakuliah dunya nganggo lénsa Hasselblad sareng batré anu kuat

Oppo sacara resmi ngaluncurkeun Find X9 Ultra di sakuliah dunya nganggo lénsa Hasselblad sareng batré anu kuat

Sistem Android nampi integrasi Gemini Nano 4 asli pikeun ngolah offline dina smartphone

Sistem Android nampi integrasi Gemini Nano 4 asli pikeun ngolah offline dina smartphone

Dampak kana ékosistem pamekaran JavaScript

Axios mangrupikeun perpustakaan anu paling sering dianggo dina ekosistem Node.js sareng dina aplikasi hareup-tungtung, janten katergantungan langsung atanapi henteu langsung tina sababaraha proyék perusahaan sareng open source. Serangan éta nyorot kerentanan alami tina akun pangurus individu dina bungkusan anu populer pisan, sanaos kode inti tetep gembleng.

Para ahli kaamanan nyatet yén metodeu anu dianggo nunjukkeun kecanggihan operasional, kalayan persiapan sateuacana tina kagumantungan palsu dina versi anu bersih sateuacan nyuntik muatan jahat. Essa strategi pajeulit deteksi otomatis awal jeung ngaronjat resiko salila periode pondok nu versi sadia.

Pituduh pikeun mariksa sareng ngabersihkeun lingkungan anu kapangaruhan

Tim pamekar kedah ngaudit log pamasangan sareng riwayat pakét pikeun ngaidentipikasi naha versi jahat diunduh. Ayana folder polos-crypto-js dina node_modules boga fungsi minangka indikator kuat yén dropper ieu dieksekusi, paduli panyabutan file engké.

Saatos beberesih, disarankeun pikeun pinuh nyeken sistem sareng alat deteksi ancaman sareng ngawas sambungan jaringan ka alamat anu aya hubunganana sareng server kontrol. Langsung ngamutahirkeun kabijakan kaamanan di repositori swasta ogé ngabantosan ngirangan résiko anu sami dina bungkusan sanés.

Nyegah serangan hareup dina pakét log

Kajadian éta nguatkeun pentingna ukuran sapertos auténtikasi multi-faktor anu ketat dina akun penerbitan, ngawaskeun kontinyu parobahan kana pakét metadata, sareng ngadopsi cék integritas anu langkung kuat. Sistem open source Projetos kalayan nyoko anu luhur tiasa mertimbangkeun prosés ulasan tambahan sateuacan rilis énggal.

Pamekar individu jeung pausahaan kudu prioritas pinning dipikawanoh versi aman dina file konfigurasi proyék, Ngahindarkeun instalasi otomatis tina apdet tanpa validasi saméméhna. Prakték Essas mantuan ngawates permukaan serangan dina ranté suplai software.

Komunitas kaamanan terus ngawas kasus pikeun peta kamungkinan korban sareng nyaring alat deteksi. Até Dina waktos ayeuna, teu aya laporan umum ngeunaan eksploitasi skala ageung, tapi rekomendasi unanimous nyaéta pikeun ngubaran sagala pamasangan versi anu kapangaruhan salaku total kompromi tina sistem anu aub.