Kont npm yon moun k ap antreteni Axios te sib yon atak sibè nan dat 31 mas 2026, sa ki lakòz piblikasyon de vèsyon move pakè popilè npm (v1.14.1 ak v0.30.4). Este ensidan prezante yon depandans pou `plain-crypto-js`, yon nouvo pake trojanize, jenere yon vilnerabilite enpòtan nan chèn ekipman pou lojisyèl an.
Malgre ke vèsyon yo konpwomèt yo te retire san pèdi tan nan kèk èdtan, itilizasyon toupatou nan Axios – prezan nan apeprè 80% nan anviwònman nwaj ak kòd, ak ak apeprè 100 milyon telechajman chak semèn – fasilite ekspoze rapid. Observou malveyan yo te egzekite nan 3% nan anviwònman ki afekte yo anvan menas la te konplètman genyen.
Kounye a yo konseye òganizasyon atravè mond lan pou yo fè odit solid nan sistèm yo pou idantifye nenpòt ekzekisyon posib vèsyon sa yo konpwomèt, swiv pa ID GHSA-fw8c-xr5c-95f9 ak MAL-2026-2306, epi pran aksyon korektif imedya pou bese risk yo.
Detay vyolasyon ak pakè move
Vèsyon fo Axios yo te diferansye ak vèsyon lejitim yo lè yo enkli yon depandans dirèk sou `plain-crypto-js`, yon pake ki te kreye espesyalman avèk entansyon move. Essas Modifikasyon konpwomi yo te entwodwi dirèkteman nan rejis npm a atravè yon kont antretyen ki te vyole, epi yo te retire pita apre yo te dekouvri defo a byen vit.
Menm ak yon fenèt ekspoze relativman kout, gwo prévalence Axios nan kominote devlopman an te lakòz yon gaye konsiderab, ki abouti nan ekzekisyon mezirab kòd move nan divès anviwònman. Sitiyasyon Essa souliye vitès atak chèn ekipman yo ka pwopaje, menm avèk repons rapid pou kenbe.
Mekanis enfeksyon ak kalite malveyan
Pake move a gen yon gout, ki idantifye kòm `setup.js`, ki gen fonksyon pou telechaje ak egzekite chaj itil nan dezyèm faz platfòm espesifik nan sèvè `sfrclak.com:8000`. Após ekzekisyon, gout la fè pwòp tèt ou-netwaye, retire ak restore yon pwòp `package.json` dosye, vize fè deteksyon pi difisil. Chaj segondè yo opere kòm trojan ki lejè aksè aleka (RAT), kominike avèk sèvè kòmand ak kontwòl (C2) chak segonn 60, transmèt envantè sistèm ak ap tann enstriksyon yo. Embora Malgre twa variantes yo aplike fonksyonalite menm jan an—ki gen ladan ekzekisyon koki aleka, piki binè, Navigasyon anyè, lis pwosesis, ak konsyans sistèm—yo diferan nan aplikasyon yo pou chak sistèm opere. Sou macOS, chaj la se yon binè inivèsèl Mach-O konpile nan C++, ki kapab siyen chaj ki enjekte atravè kodesign. No Windows, chaj la se yon script PowerShell ki etabli pèsistans atravè yon kle rejis Run (MicrosoftUpdate) ak yon dosye pakèt re-telechaje. Já sou Linux, chaj la delivre kòm yon script Python, ki montre adaptabilite atakè yo nan vize platfòm diferan.
Aksyon ijan pou ekip sekirite yo
Etandone severite ensidan an, ekip sekirite yo dwe priyorite yon seri aksyon imedya. Li enpòtan pou verifye itilizasyon Axios pou idantifye si vèsyon ki afekte yo (1.14.1 oswa 0.30.4) yo te telechaje oswa kouri nenpòt kote nan anviwònman devlopman oswa pwodiksyon an.
Si gen nenpòt endikasyon nan ekzekisyon pakè move, site la dwe ke kalifikasyon yo te konpwomèt. Recomenda Analize sistèm ki afekte yo pou jwenn sekrè, tankou varyab anviwònman, kle API, ak siy aksè, epi vire kalifikasyon sa yo.
Anplis de sa, li enperatif pou mennen ankèt sou chemen konpwomi posib. Ekip yo ta dwe revize konstriksyon tuyaux ak machin devlopè pou nenpòt siy aksè san otorizasyon oswa pèsistans, paske malveyan ka pwopaje pandan enstalasyon an epi konpwomèt chèn ekipman pou en.
Vijilans kontinyèl esansyèl, ak siveyans pou aktivite sispèk, ki gen ladan koneksyon soti nan `sfrclak.com:8000`. Também Li esansyèl pou analize mòso bwa pou konpòtman baliz, demann HTTP POST anomali, oswa ekzekisyon pwosesis inatandi ki gen rapò ak enstalasyon pake.
Idantifikasyon kle konpwomi (IOC)
Idantifikasyon egzat nan zafè move se kritik pou alèjman ensidan ak repons. Diversos endikatè konpwomi yo te katalòg pou ede òganizasyon yo detekte ekspoze ak enfeksyon.
Pami premye faz pakè konpwomèt yo, `axios-0.30.4.tgz` (SHA256: 59336a964f110c25c112bcc5adca7090296b54ab33fa95c0744b94f8a0d80c10f.1) ak .1. soti. (SHA256: 5bb67e88846096f1f8d42a0f0350c9c46260591567612ff9af46f98d1b7571cd), tou de reprezante etap inisyal atak la atravè pakè npm.
Etap 1.5 move pake a, Trojanized `plain-crypto-js-4.2.1.tgz`, gen SHA256 hash la: 58401c195fe0a6204b42f5f90995ece5fab74ce7c69c67a24c61aaf6767616768. Konpozan Este kritik, paske se depandans ki te entwodwi kòd malfezan nan sistèm yo.
Yo te idantifye tou chajman dezyèm faz yo: pou macOS, binè pou ak pou Linux, script Python `ld.py` (SHA256: fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135f9840375cf984).
Lòt IOC enpòtan yo enkli:
Repons ak prevansyon atak nan chèn ekipman pou
Deteksyon rapid ak retire vèsyon move nan Axios, pandan y ap kritik, pa elimine nesesite pou analiz pi pwofon sou rezistans nan chèn ekipman pou lojisyèl. Incidentes tankou sa a ranfòse enpòtans estrateji sekirite proaktif, ki ale pi lwen pase reyaksyon a sèlman nan atak deja fini. Desenvolvedores ak òganizasyon yo dwe aplike mezi solid pou sekirize workflows yo, depi premye kodaj rive nan livrezon final la, pou asire entegrite chak eleman.
Sekirite chèn apwovizyone depann de yon apwòch ki gen plizyè aspè, ki gen ladan adopte otantifikasyon milti-faktè (MFA) fò pou tout kont pwomotè ak mentèn pake, revizyon kòd solid, ak itilizasyon zouti otomatik pou analize depandans. Pratik Essas ede idantifye ak bese vilnerabilite yo anvan yo kapab eksplwate yo pa aktè move, kreye yon baryè ki pi efikas kont tantativ konpwomi nan lavni.
Evolisyon sekirite nan manadjè pake yo
Peyizaj la menas pou manadjè pake tankou NPM ap toujou ap evolye, ki mande platfòm ak kominote devlopè a toujou adapte. Konsyantizasyon sou sekirite chèn ekipman an te ogmante dramatikman nan dènye ane yo, ki mennen nan amelyorasyon nan politik ak zouti deteksyon.
Efò kolaborasyon ant moun k ap antreteni yo, konpayi sekirite yo ak platfòm NPM li menm yo esansyèl pou ranfòse defans yo. Isso gen ladann mete ann aplikasyon chèk sekirite pi sevè pou nouvo pakè ak mizajou, ansanm ak gaye pi bon pratik nan mitan itilizatè yo ak kontribitè nan kominote sous louvri.
Mezi kontinyèl pou devlopè yo
Pou asire sekirite kontinyèl, devlopè yo dwe kenbe konpòtman vijilan. Isso gen ladann tcheke otantisite ak repitasyon nouvo pakè yo anvan yo entegre yo nan pwojè yo epi pito depandans ki byen etabli epi konsève aktivman.
