Злоумышленник скомпрометировал учетную запись npm ведущего мейнтейнера Axios 30 марта и использовал ее для публикации двух вредоносных версий широко используемой библиотеки HTTP-клиента JavaScript, согласно StepSecurity. Отравленные релизы, axios@1.14.1 и axios@0.30.4, внедрили скрытую зависимость, которая незаметно устанавливала кроссплатформенный троян удаленного доступа на машины разработчиков под управлением macOS, Windows и Linux. Axios загружается примерно 100 миллионов раз в неделю через npm. Обе вредоносные версии добавили одну новую зависимость в манифест пакета: plain-crypto-js@4.2.1, специально созданный троян, замаскированный под легитимную библиотеку crypto-js. Пакет нигде в исходном коде Axios не импортировался и не упоминался. Его единственной функцией было выполнение скрипта postinstall, который связывался с командно-контрольным сервером по адресу sfrclak.com, загружал полезную нагрузку RAT, специфичную для платформы, а затем уничтожал все следы своего выполнения. Атака была спланирована примерно в течение 18 часов: учетная запись npm, контролируемая злоумышленником, опубликовала чистую версию-приманку plain-crypto-js в 05:57 UTC 30 марта для создания истории публикаций. Версия с вредоносной полезной нагрузкой последовала в 23:59 UTC. Скомпрометированная учетная запись мейнтейнера Axios, jasonsaayman, затем опубликовала axios@1.14.1 в 00:21 UTC 31 марта, а затем axios@0.30.4 в 01:00 UTC, охватив как современные ветки релизов 1.x, так и устаревшие 0.x в течение 39 минут друг от друга. Анализ в реальном времени от StepSecurity подтвердил, что дроппер установил первое исходящее соединение с C2-сервером всего через 1,1 секунды после начала npm install. На macOS бинарный файл RAT был записан в /Library/Caches/com.apple.act.mond, имитируя системный процесс Apple. В Windows вредоносное ПО скопировало PowerShell в %PROGRAMDATA%\wt.exe и выполнило скрытый скрипт. В Linux он загрузил Python-основанный RAT в /tmp/ld.py. После выполнения setup.js удалил сам себя, удалил свой собственный package.json, содержащий вредоносный хук postinstall, и заменил его предварительно размещенным чистым заглушкой, сообщающим другой номер версии. Судебно-медицинская проверка установленного пакета после инцидента не выявила бы ничего подозрительного. Вредоносные версии были активны около двух-трех часов, прежде чем npm удалил их и наложил ограничение безопасности на plain-crypto-js. Ни одна из скомпрометированных версий не отображается в тегах репозитория Axios на GitHub, что подтверждает, что они были опубликованы непосредственно в реестре npm вне стандартного конвейера CI/CD проекта. StepSecurity, Snyk, Wiz и Vercel опубликовали уведомления, рекомендуя считать полностью скомпрометированной любую систему, на которой выполнялся вредоносный пакет, с немедленной ротацией всех учетных данных. Отслеживание инцидента на GitHub ведется в axios/axios#10604.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Luke James
