Sofistikovaný kybernetický útok odhalil kritickou zranitelnost v registru balíčků npm JavaScript, což hackerům umožnilo vložit škodlivý kód do široce používané klientské knihovny HTTP axios. Kompromitované verze, které vydržely pouze tři hodiny online, obsahovaly trojan pro dálkové ovládání (RAT) pro více platforem zaměřený na systémy macOS, Windows a Linux. Incident poukazuje na zásadní chybu v dodavatelském řetězci softwaru, kde zastaralé metody ověřování podkopávají i ta nejpokročilejší bezpečnostní opatření.
Útok: Přesné zacílení na základní závislost
Útočníci použili dlouhotrvající přístupový token npm patřící jednomu z předních vývojářů axios, čímž obešli moderní bezpečnostní protokoly, jako jsou GitHub Actions CI/CD a atestace původu SLSA. Škodlivé balíčky axios@1.14.1 a axios@0.30.4 nasadily skrytou závislost (plain-crypto-js@4.2.1 ), která spouští poinstalační skript a tiše instaluje RAT na počítače vývojářů. Útočníci připravili útok tak, že nejprve zveřejnili čistou verzi škodlivé závislosti, aby nastolili důvěru, než nasadí verzi se zbraní.
Tento hack je obzvláště alarmující vzhledem k tomu, že „axios“ pohání přibližně 80 % cloudových a kódových prostředí, včetně frontendů React, kanálů CI/CD a funkcí bez serveru. Wiz uvádí, že více než 100 milionů stažení týdně závisí na této knihovně, což znamená, že potenciální dosah útoku je obrovský. Huntress detekovala první infekce pouhých 89 sekund poté, co se škodlivé pakety objevily v síti, a mezi klienty společnosti bylo identifikováno nejméně 135 kompromitovaných systémů.
Opakující se vzorec: Klíčovou slabinou zůstává kompromis v pověření
Incident je třetím velkým hackem dodavatelského řetězce npm za sedm měsíců, to vše kvůli ukradeným přihlašovacím údajům vývojáře. Navzdory snahám průmyslu o posílení ekosystému po červu Shai-Hulud v roce 2025 a následným zranitelnostem objeveným Koi Security zůstává zásadní problém: individuální vývojářské účty jsou stále nejslabším článkem.
Útočníci obešli zabezpečení projektu tím, že využili skutečnosti, že npm se ve výchozím nastavení použije na klasické tokeny s dlouhou životností, když jsou přítomny jak OIDC, tak starší tokeny. To znamená, že i s moderními ověřovacími mechanismy je mohou zastaralé přihlašovací údaje tiše přepsat. Jak vysvětluje Merritt Baer, CSO Enkrypt AI a bývalý zástupce CISO v AWS: „Moderní ovládací prvky jsou nasazeny, ale pokud starší tokeny nebo klíče nejsou vyřazeny, systém je tiše upřednostňuje.“
Okamžité akce pro organizace
Organizace používající Node.js by to měly považovat za aktivní incident, dokud nebudou potvrzeny čisté systémy. Okno dopadu bylo během špičkových hodin vývoje a kanály CI/CD mohly automaticky stáhnout kompromitované verze.
Následující kroky jsou kritické:
- Kontrola dopadu: Vyhledejte v souborech zámků a protokolech CI/CD škodlivé verze
axios(1.14.1,0.30.4) nebo skrytou závislost (plain-crypto-js). - Oprava závislostí: Okamžitě potvrďte známé dobré verze (
axios@1.14.0neboaxios@0.30.3). - Předpokládejte kompromis: Obnovte postižené počítače ze známého dobrého stavu a otočte všechna dostupná pověření (tokeny npm, klíče AWS, klíče SSH, tajné klíče CI/CD).
- Blokování příkazového a řídicího centra: Přidání
sfrclak.coma142.11.206.73do seznamů blokování DNS a pravidel brány firewall. - Skenování artefaktů: Kontroluje výskyt artefaktů RAT na postižených systémech (umístění specifických pro OS viz původní článek).
Velký problém: Mezera v pověření zůstává otevřená
Hack axios zdůrazňuje kritickou chybu v dodavatelském řetězci softwaru: spoléhání se na jednotlivé účty vývojářů jako na nejvyšší důvěryhodnou kotvu. Navzdory snahám průmyslu o zlepšení zabezpečení zůstává kompromitace pověření hlavním útokem. Dokud npm nezavede povinné osvědčení o původu nebo podpis více stran, ekosystém zůstane zranitelný.
Baer uzavírá: “Kompromit pověření je v npm hackech opakujícím se tématem… Snižujeme riziko. Neodstraňujeme ho.” Vývojář axios se řídil osvědčenými postupy, ale zastaralý token podkopal všechny tyto snahy. Základním problémem nejsou jen slabá hesla; je to strukturální chyba, ve které starší metody ověřování tiše potlačují moderní bezpečnostní opatření.
