Сложная кибератака выявила критическую уязвимость в реестре JavaScript-пакетов npm, позволив хакерам внедрить вредоносный код в широко используемую HTTP-клиентскую библиотеку axios. Скомпрометированные версии, просуществовавшие в сети всего три часа, содержали кроссплатформенный удаленный троян (RAT), нацеленный на системы macOS, Windows и Linux. Этот инцидент подчеркивает фундаментальный недостаток в цепи поставок программного обеспечения, где устаревшие методы аутентификации подрывают даже самые передовые меры безопасности.
Атака: Точное Нацеливание на Основную Зависимость
Злоумышленники использовали долгоживущий токен доступа npm, принадлежащий одному из ведущих разработчиков axios, обходя современные протоколы безопасности, такие как GitHub Actions CI/CD и аттестации происхождения SLSA. Вредоносные пакеты, axios@1.14.1 и axios@0.30.4, развернули скрытую зависимость (plain-crypto-js@4.2.1 ), которая выполняет сценарий после установки, незаметно устанавливая RAT на машины разработчиков. Атакующие подготовили атаку, сначала опубликовав чистую версию вредоносной зависимости для установления доверия, прежде чем развернуть оружизованную версию.
Этот взлом особенно тревожен, учитывая, что axios обеспечивает работу примерно 80% облачных и кодовых сред, включая React-фронтенды, CI/CD-конвейеры и бессерверные функции. Wiz сообщает, что более 100 миллионов загрузок в неделю полагаются на эту библиотеку, что означает, что потенциальный охват атаки огромен. Huntress обнаружила первые заражения всего через 89 секунд после появления вредоносных пакетов в сети, среди клиентов компании было выявлено по крайней мере 135 скомпрометированных систем.
Повторяющийся Паттерн: Компрометация Учетных Данных Остается Основной Слабостью
Этот инцидент знаменует собой третий крупный взлом цепи поставок npm за семь месяцев, все из-за украденных учетных данных разработчиков. Несмотря на отраслевые усилия по укреплению экосистемы после червя Shai-Hulud в 2025 году и последующих уязвимостей, обнаруженных Koi Security, фундаментальная проблема остается: отдельные учетные записи разработчиков по-прежнему являются самым слабым звеном.
Атакующие обошли систему безопасности проекта, воспользовавшись тем фактом, что npm по умолчанию использует долгоживущие классические токены, если присутствуют и OIDC, и устаревшие токены. Это означает, что даже при наличии современных механизмов аутентификации устаревшие учетные данные могут беззвучно переопределить их. Как объясняет Мерритт Баер, CSO компании Enkrypt AI и бывший заместитель CISO в AWS, «Современные средства контроля развертываются, но если устаревшие токены или ключи не выводятся из эксплуатации, система молчаливо отдает им предпочтение».
Немедленные Действия для Организаций
Организации, использующие Node.js, должны рассматривать это как активный инцидент до тех пор, пока не будут подтверждены чистые системы. Окно воздействия пришлось на пиковые часы разработки, и CI/CD-конвейеры могли автоматически извлекать скомпрометированные версии.
Следующие шаги имеют решающее значение:
- Проверка на Воздействие: Поиск в файлах блокировки и журналах CI/CD вредоносных версий
axios(1.14.1,0.30.4) или скрытой зависимости (plain-crypto-js). - Фиксация Зависимостей: Немедленная фиксация известных хороших версий (
axios@1.14.0илиaxios@0.30.3). - Предполагать Компрометацию: Перестроение затронутых машин из известного хорошего состояния и ротация всех доступных учетных данных (токены npm, ключи AWS, SSH-ключи, секреты CI/CD).
- Блокировка Командного и Управляющего Центра: Добавление
sfrclak.comи142.11.206.73в списки блокировки DNS и правила брандмауэра. - Сканирование на Артефакты: Проверка на наличие артефактов RAT в затронутых системах (см. оригинальную статью для расположений, специфичных для ОС).
Большая Проблема: Пробел в Учетных Данных Остается Открытым
Взлом axios подчеркивает критический недостаток в цепи поставок программного обеспечения: зависимость от отдельных учетных записей разработчиков как от конечного доверенного якоря. Несмотря на отраслевые усилия по улучшению безопасности, компрометация учетных данных остается основным вектором атаки. Пока npm не введет обязательную аттестацию происхождения или многостороннюю подпись, экосистема останется уязвимой.
Как заключает Баер, «Компрометация учетных данных является повторяющейся темой взломов npm… Мы снижаем риск. Мы не устраняем его». Разработчик axios следовал передовым практикам, но устаревший токен подорвал все эти усилия. Фундаментальная проблема заключается не только в слабых паролях; это структурный недостаток, при котором устаревшие методы аутентификации беззвучно переопределяют современные меры безопасности.
