Складна кібератака виявила критичну вразливість у реєстрі JavaScript-пакетів npm, дозволивши хакерам впровадити шкідливий код у широко використовувану HTTP-клієнтську бібліотеку axios. Скомпрометовані версії, що проіснували в мережі всього три години, містили платформу віддаленого трояна (RAT), націлений на системи macOS, Windows і Linux. Цей інцидент підкреслює фундаментальний недолік у ланцюзі постачання програмного забезпечення, де застарілі методи автентифікації підривають навіть найпередовіші заходи безпеки.
Атака: Точне Націлювання на Основну Залежність
Зловмисники використовували довгоживучий токен доступу npm, що належить одному з провідних розробників axios, оминаючи сучасні протоколи безпеки, такі як GitHub Actions CI/CD та атестації походження SLSA. Шкідливі пакети, [email protected] та [email protected], розгорнули приховану залежність ([email protected] ), яка виконує сценарій після встановлення, непомітно встановлюючи RAT на машини розробників. Атакуючі підготували атаку, спочатку опублікувавши чисту версію шкідливої залежності для встановлення довіри перед тим, як розгорнути збройовану версію.
Цей злом особливо тривожний, враховуючи, що axios забезпечує роботу приблизно 80% хмарних та кодових середовищ, включаючи React-фронтенди, CI/CD-конвеєри та безсерверні функції. Wiz повідомляє, що більше 100 мільйонів завантажень на тиждень покладаються на цю бібліотеку, що означає, що потенційне охоплення атаки величезне. Huntress виявила перші зараження через 89 секунд після появи шкідливих пакетів у мережі, серед клієнтів компанії було виявлено принаймні 135 скомпрометованих систем.
Паттерн, що повторюється: Компрометація Облікових Даних Залишається Основною Слабістю
Цей інцидент знаменує собою третій великий зламування ланцюга поставок npm за сім місяців, все через вкрадені облікові дані розробників. Незважаючи на галузеві зусилля зі зміцнення екосистеми після черв’яка Shai-Hulud у 2025 році та подальших уразливостей, виявлених Koi Security, фундаментальна проблема залишається: окремі облікові записи розробників, як і раніше, є найслабшою ланкою.
Атакуючі обійшли систему безпеки проекту, скориставшись тим фактом, що npm за умовчанням використовує довгоживучі класичні токени, якщо присутні і OIDC, і застарілі токени. Це означає, що за наявності сучасних механізмів аутентифікації застарілі облікові дані можуть беззвучно перевизначити їх. Як пояснює Меррітт Баєр, CSO компанії Enkrypt AI і колишній заступник CISO в AWS, «Сучасні засоби контролю розгортаються, але якщо застарілі токени або ключі не виводяться з експлуатації, система мовчазно віддає перевагу».
Негайні Дії для Організацій
Організації, які використовують Node.js, повинні розглядати це як активний інцидент, доки не будуть підтверджені чисті системи. Вікно впливу припало на піковий годинник розробки, і CI/CD-конвеєри могли автоматично отримувати скомпрометовані версії.
Наступні кроки мають вирішальне значення:
- Перевірка на Вплив: Пошук у файлах блокування та журналах CI/CD шкідливих версій
axios(1.14.1,0.30.4) або прихованої залежності (plain-crypto-js). - Фіксація Залежностей: Негайна фіксація відомих хороших версій (
[email protected]або[email protected]). - Припускати Компрометацію: Перебудова порушених машин із відомого хорошого стану та ротація всіх доступних облікових даних (токени npm, ключі AWS, SSH-ключі, секрети CI/CD).
- Блокування Командного та Керуючого Центру: Додавання
sfrclak.comта142.11.206.73до списків блокування DNS та правила брандмауера. - Сканування на Артефакти: Перевірка на наявність артефактів RAT у порушених системах (див. оригінальну статтю для розміщень, специфічних для ОС).
Велика Проблема: Пробіл в Облікових Даних Залишається Відкритим
Злом axios підкреслює критичний недолік у ланцюзі постачання програмного забезпечення: залежність від окремих облікових записів розробників як від кінцевого довіреного якоря. Незважаючи на галузеві зусилля щодо покращення безпеки, компрометація облікових даних залишається основним вектором атаки. Поки npm не запровадить обов’язкову атестацію походження або багатосторонній підпис, екосистема залишиться вразливою.
Як підсумовує Баєр, «Компрометація облікових даних є темою зломів npm, що повторюється… Ми знижуємо ризик. Ми не усуваємо його». Розробник axios дотримувався передових практик, але застарілий токен підірвав усі ці зусилля. Фундаментальна проблема полягає не лише у слабких паролях; це структурний недолік, у якому застарілі методи аутентифікації беззвучно перевизначають сучасні заходи безпеки.
