Wyrafinowany cyberatak ujawnił krytyczną lukę w rejestrze pakietów JavaScript npm, umożliwiając hakerom wstrzyknięcie złośliwego kodu do powszechnie używanej biblioteki klienta HTTP axios. Zaatakowane wersje, które były dostępne w Internecie tylko przez trzy godziny, zawierały wieloplatformowego trojana do zdalnego sterowania (RAT), którego celem były systemy macOS, Windows i Linux. Incydent uwypukla fundamentalną wadę w łańcuchu dostaw oprogramowania, w którym przestarzałe metody uwierzytelniania podważają nawet najbardziej zaawansowane środki bezpieczeństwa.
Atak: Precyzyjny cel w zależności od rdzenia
Napastnicy wykorzystali długotrwały token dostępu npm należący do jednego z wiodących twórców axios', omijając nowoczesne protokoły bezpieczeństwa, takie jak certyfikaty pochodzenia GitHub Actions CI/CD i SLSA. Szkodliwe pakiety axios@1.14.1i axios@0.30.4wdrażały ukrytą zależność ( plain-crypto-js@4.2.1`), która wykonuje skrypt poinstalacyjny, po cichu instalując RAT na komputerach programistów. Osoby atakujące przygotowały atak, publikując najpierw czystą wersję szkodliwej zależności w celu ustanowienia zaufania przed wdrożeniem wersji uzbrojonej.
Ten hack jest szczególnie niepokojący, biorąc pod uwagę, że „axios” obsługuje około 80% środowisk chmurowych i środowisk kodowych, w tym interfejsy React, potoki CI/CD i funkcje bezserwerowe. Wiz podaje, że z tej biblioteki korzysta ponad 100 milionów pobrań tygodniowo, co oznacza, że potencjalny zasięg ataku jest ogromny. Huntress wykryła pierwsze infekcje zaledwie 89 sekund po pojawieniu się szkodliwych pakietów w sieci, a wśród klientów firmy zidentyfikowano co najmniej 135 zaatakowanych systemów.
Powtarzający się wzorzec: naruszenie danych uwierzytelniających pozostaje kluczową słabością
Incydent ten jest trzecim poważnym włamaniem do łańcucha dostaw npm w ciągu siedmiu miesięcy, a wszystko to z powodu skradzionych danych uwierzytelniających programistów. Pomimo wysiłków branży mających na celu wzmocnienie ekosystemu po robaku Shai-Hulud w 2025 r. i kolejnych lukach wykrytych przez Koi Security, podstawowy problem pozostaje: indywidualne konta programistów są nadal najsłabszym ogniwem.
Osoby atakujące ominęły zabezpieczenia projektu, wykorzystując fakt, że npm domyślnie korzysta z długotrwałych tokenów klasycznych, gdy obecne są zarówno tokeny OIDC, jak i starsze. Oznacza to, że nawet przy zastosowaniu nowoczesnych mechanizmów uwierzytelniania nieaktualne dane uwierzytelniające mogą je po cichu zastąpić. Jak wyjaśnia Merritt Baer, CSO Enkrypt AI i były zastępca CISO w AWS, „Wdrażane są nowoczesne kontrole, ale jeśli starsze tokeny lub klucze nie zostaną wycofane, system po cichu je faworyzuje”.
Natychmiastowe działania dla organizacji
Organizacje korzystające z Node.js powinny traktować to jako aktywny incydent do czasu potwierdzenia czystości systemów. Okno wpływu przypadało na szczytowe godziny rozwoju, a potoki CI/CD mogły automatycznie pobierać skompromitowane wersje.
Następujące kroki są krytyczne:
- Kontrola wpływu: Przeszukuj pliki blokad i dzienniki CI/CD pod kątem złośliwych wersji
axios(1.14.1,0.30.4) lub ukrytych zależności (plain-crypto-js). - Naprawa zależności: Natychmiast zatwierdzaj znane dobre wersje (
axios@1.14.0lubaxios@0.30.3). - Załóż kompromis: Odbuduj dotknięte maszyny ze znanego dobrego stanu i zamień wszystkie dostępne poświadczenia (tokeny npm, klucze AWS, klucze SSH, sekrety CI/CD).
- Blokowanie Centrum dowodzenia: Dodanie
sfrclak.comi142.11.206.73do list blokowania DNS i reguł zapory sieciowej. - Skanowanie artefaktów: sprawdza artefakty RAT w systemach, których dotyczy problem (zobacz oryginalny artykuł dotyczący lokalizacji specyficznych dla systemu operacyjnego).
Duży problem: luka w poświadczeniach pozostaje otwarta
Hack „axios” uwydatnia krytyczną wadę w łańcuchu dostaw oprogramowania: poleganie na indywidualnych kontach programistów jako ostatecznej i zaufanej kotwicy. Pomimo wysiłków branży mających na celu poprawę bezpieczeństwa, naruszenie poświadczeń pozostaje głównym wektorem ataku. Dopóki npm nie wdroży obowiązkowego poświadczenia pochodzenia lub podpisu wielu stron, ekosystem pozostanie podatny na zagrożenia.
Jak podsumowuje Baer: „Kompromis dotyczący danych uwierzytelniających to powracający temat w hackach npm… Zmniejszamy ryzyko. Nie eliminujemy go”. Twórca axios postępował zgodnie z najlepszymi praktykami, ale przestarzały token podważył wszystkie te wysiłki. Podstawowym problemem nie są tylko słabe hasła; jest to wada strukturalna, w której starsze metody uwierzytelniania po cichu zastępują nowoczesne środki bezpieczeństwa.
