Un sofisticato attacco informatico ha messo in luce una vulnerabilità critica nel registro dei pacchetti JavaScript npm, consentendo agli hacker di inserire codice dannoso nella libreria client HTTP ampiamente utilizzata “axios”. Le versioni compromesse, attive per un breve periodo di tre ore, contenevano un trojan di accesso remoto (RAT) multipiattaforma destinato ai sistemi macOS, Windows e Linux. Questo incidente evidenzia un difetto fondamentale nella catena di fornitura del software in cui metodi di autenticazione obsoleti minano anche le misure di sicurezza più avanzate.
L’attacco: targeting preciso di una dipendenza principale
Gli aggressori hanno sfruttato un token di accesso npm di lunga durata appartenente a un manutentore principale di axios, aggirando i moderni protocolli di sicurezza come GitHub Actions CI/CD e gli attestati di provenienza SLSA. I pacchetti dannosi, axios@1.14.1 e axios@0.30.4, hanno distribuito una dipendenza nascosta (plain-crypto-js@4.2.1 ) che esegue uno script post-installazione, installando silenziosamente il RAT sulle macchine degli sviluppatori. Gli aggressori hanno organizzato l’attacco pubblicando prima una versione pulita della dipendenza dannosa per stabilire credibilità prima di implementare la versione armata.
Questa violazione è particolarmente preoccupante dato che “axios” alimenta circa l’80% degli ambienti cloud e di codice, inclusi front-end React, pipeline CI/CD e funzioni serverless. Wiz riferisce che oltre 100 milioni di download alla settimana fanno affidamento su questa libreria, il che significa che la portata potenziale dell’attacco è enorme. Huntress ha rilevato le prime infezioni appena 89 secondi dopo la diffusione dei pacchetti dannosi, con almeno 135 sistemi compromessi identificati tra i suoi clienti.
Modello ricorrente: il compromesso delle credenziali rimane il principale punto debole
Questo incidente segna il terzo grave compromesso della catena di fornitura npm in sette mesi, tutto derivante dal furto delle credenziali del manutentore. Nonostante gli sforzi a livello di settore per rafforzare l’ecosistema dopo il worm Shai-Hulud nel 2025 e le successive vulnerabilità scoperte da Koi Security, la questione fondamentale rimane: gli account dei singoli manutentori sono ancora l’anello più debole.
Gli aggressori hanno aggirato lo stack di sicurezza del progetto sfruttando il fatto che npm utilizza per impostazione predefinita token classici di lunga durata se sono presenti sia token OIDC che legacy. Ciò significa che anche con i moderni meccanismi di autenticazione in atto, una credenziale obsoleta può sovrascriverli silenziosamente. Come spiega Merritt Baer, CSO di Enkrypt AI ed ex vice CISO di AWS, “i controlli moderni vengono implementati, ma se i token o le chiavi legacy non vengono ritirati, il sistema li favorisce silenziosamente”.
Passaggi immediati per le organizzazioni
Le organizzazioni che utilizzano Node.js dovrebbero considerare questo come un incidente attivo fino alla conferma dei sistemi puliti. La finestra di esposizione è caduta durante le ore di punta dello sviluppo e le pipeline CI/CD potrebbero aver estratto automaticamente le versioni compromesse.
I seguenti passaggi sono cruciali:
- Controlla l’esposizione: Cerca nei file di lock e nei log CI le versioni dannose di
axios(1.14.1,0.30.4) o la dipendenza nascosta (plain-crypto-js). - Dipendenze dei pin: Aggiungi immediatamente alle versioni sicuramente valide (
axios@1.14.0oaxios@0.30.3). - Presumi un compromesso: ricostruisci le macchine interessate da uno stato noto e ruota tutte le credenziali accessibili (token npm, chiavi AWS, chiavi SSH, segreti CI/CD).
- Blocca comando e controllo: Aggiungi
sfrclak.come142.11.206.73alle blocklist DNS e alle regole del firewall. - Cerca artefatti: controlla la presenza di artefatti RAT sui sistemi interessati (vedi l’articolo originale per le posizioni specifiche del sistema operativo).
Il problema più grande: il divario di credenziali rimane aperto
La violazione di “axios” sottolinea un difetto critico nella catena di fornitura del software: la dipendenza dagli account dei manutentori individuali come ultima ancora di fiducia. Nonostante gli sforzi del settore per migliorare la sicurezza, la compromissione delle credenziali rimane il principale vettore di attacco. Fino a quando npm non imporrà l’attestazione di provenienza obbligatoria o la firma multilaterale, l’ecosistema rimarrà vulnerabile.
Come conclude Baer, ”La compromissione delle credenziali è il tema ricorrente nelle violazioni npm… Noi mitighiamo il rischio. Non lo eliminiamo.” Il manutentore di axios ha seguito le migliori pratiche, ma un token legacy ha minato tutti questi sforzi. Il problema fondamentale non sono solo le password deboli; si tratta di un difetto strutturale in cui metodi di autenticazione obsoleti prevalgono silenziosamente sulle moderne misure di sicurezza.
