Атаки на цепочки поставок программного обеспечения остаются одним из наиболее разрушительных векторов угроз, а их масштаб может быть колоссальным, когда мишенью становится фундаментальная инфраструктура. Именно такая ситуация сложилась в конце марта 2026 года, когда под удар попала библиотека "axios" - краеугольный камень современной веб-разработки на JavaScript. Внедрение вредоносной зависимости в её официальные пакеты привело к скрытой установке многофункционального бэкдора на сотни тысяч, если не миллионы, систем разработчиков и серверов по всему миру. Инцидент демонстрирует, как компрометация всего одного популярного пакета может поставить под угрозу безопасность огромного числа приложений и компаний, которые от него зависят.
Описание
По данным Google Threat Intelligence Group (GTIG), исследовательского подразделения Google, специализирующегося на киберугрозах, 31 марта 2026 года злоумышленникам удалось скомпрометировать учётную запись одного из сопровождающих (maintainer) пакета "axios" в репозитории NPM. Используя полученный доступ, они внесли изменения в две популярные версии библиотеки - 1.14.1 и 0.30.4, добавив в них новую зависимость под названием "plain-crypto-js". Учитывая, что еженедельное количество загрузок этих версий составляет более 100 и 83 миллионов соответственно, потенциальный охват атаки был чрезвычайно широк. После публикации обновлений любой разработчик, обновивший зависимость в своём проекте или запустивший установку пакетов на чистой системе, автоматически получал вредоносный код.
Технический анализ показал, что пакет "plain-crypto-js" версии 4.2.1 является обфусцированным дроппером - программой-загрузчиком. Его основная хитрость заключалась в использовании стандартного механизма NPM под названием "postinstall". Этот хук, прописанный в файле "package.json", автоматически запускает скрипт "setup.js" сразу после установки пакета, без ведома пользователя. Сам скрипт был написан с применением сложных методов обфускации, включая XOR и Base64, чтобы скрыть от статических анализаторов адреса командного центра и логику выполнения. Его первая задача - определить операционную систему целевой машины, после чего загружается и исполняется специфичный для неё вредоносный модуль.
Механизм заражения был тщательно продуман для кроссплатформенности. На компьютерах с Windows дроппер искал легитимный "powershell.exe", копировал его в служебную директорию для маскировки, после чего загружал и исполнял PowerShell-скрипт бэкдора. На macOS скрипт загружал скомпилированный бинарный файл в системный кэш, менял ему права и запускал в фоне через "zsh". Для Linux окружения предназначен был бэкдор, написанный на Python. Как сообщили специалисты GTIG, после успешной установки основного вредоносного модуля дроппер пытался замести следы, удаляя себя и подменённый "package.json", возвращая на место оригинальную версию файла, сохранённую под другим именем.
Конечной целью всей цепочки было развёртывание обновлённой версии бэкдора, известного как WAVESHAPER.V2. Это многофункциональное средство удалённого доступа (RAT, Remote Access Trojan), написанное на C++ для macOS, с вариантами на PowerShell для Windows и Python для Linux. После установки бэкдор начинает зондировать командный центр каждые 60 секунд, передавая в Base64-кодированном JSON информацию о системе: имя хоста, пользователя, версию ОС, список процессов. В ответ он может получать команды для выполнения, что превращает заражённую машину в инструмент в руках злоумышленников. Функционал включает сбор и выгрузку детальных списков файлов из указанных директорий, выполнение произвольных команд оболочки, инъекцию в память других исполняемых файлов и даже запуск скриптов AppleScript на macOS. Для обеспечения постоянного присутствия в системе на Windows создаётся скрытый пакетный файл и запись в автозагрузку реестра.
Атрибуция этой деятельности не оставляет сомнений. Исследователи GTIG однозначно связывают атаку с группировкой UNC1069, финансово мотивированными хакерами, связанными с Северной Кореей и активными с 2018 года. Ключевыми уликами стали использование эволюции их же бэкдора WAVESHAPER, а также инфраструктурные совпадения. Анализ домена командного центра "sfrclak[.]com" и связанного с ним IP-адреса выявил соединения с конкретным узлом AstrillVPN, который уже фигурировал в предыдущих операциях UNC1069. Сходство протоколов взаимодействия, поведения при опросе C2 и даже использование одинакового нестандартного User-Agent подтверждают эту связь.
Последствия этой атаки носят каскадный характер. Поскольку "axios" является зависимостью для огромного количества других популярных проектов, косвенному заражению могли подвергнуться и они. Это создаёт эффект домино, угрожая безопасности целых экосистем. Более того, инцидент с "axios" - не единственная недавняя крупная атака на цепочку поставок открытого кода. Всего несколькими неделями ранее другая группировка, UNC6780, отравила пакеты в PyPI и workflow GitHub Actions, связанные с такими инструментами, как Trivy и LiteLLM, для кражи учётных данных. В совокупности эти атаки могли привести к утечке сотен тысяч секретов - токенов API, ключей шифрования, паролей к облачным сервисам. Такие данные становятся топливом для последующих, ещё более масштабных атак: новых компрометаций цепочек поставок, взломов SaaS-платформ, запуска программ-вымогателей и прямых краж криптовалюты.
Фундаментальная опасность подобных атак заключается в эксплуатации доверия. Разработчики и компании доверяют репозиториям вроде NPM, полагая, что пакеты из официальных источников безопасны. Хакеры, скомпрометировав учётную запись сопровождающего, нарушают это доверие на системном уровне, превращая стандартный процесс обновления зависимостей в канал для распространения вредоносного кода. Защита от таких угроз требует смещения парадигмы от реактивного к проактивному подходу. Недостаточно просто устанавливать обновления, необходимо внедрять строгий контроль версий, пининг зависимостей, сканирование состава программного обеспечения (SBOM, Software Bill of Materials) и постоянный мониторинг аномальной активности в средах разработки и CI/CD-конвейерах. Только комплексное отношение к безопасности цепочки поставок может снизить риск того, что обновление библиотеки обернётся катастрофой для всей организации.
Индикаторы компрометации
IPv4
- 142.11.206.73
- 23.254.167.216
Domains
- sfrclak.com
URLs
- http://sfrclak.com:8000
- http://sfrclak.com:8000/6202033
SHA256
- 58401c195fe0a6204b42f5f90995ece5fab74ce7c69c67a24c61a057325af668
- 617b67a8e1210e4fc87c92d1d1da45a2f311c08d26e89b12307cf583c900d101
- 92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c9645a
- e10b1fa84f1d6481625f741b69892780140d4e0e7769e7491e5f4d894c2e0e09
- ed8560c1ac7ceb6983ba995124d5917dc1a00288912387a6389296637d5f815c
- f7d335205b8d7b20208fb3ef93ee6dc817905dc3ae0c10a0b164f4e7d07121cd
- fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 | rule G_Backdoor_WAVESHAPER.V2_PS_1 { meta: description = "Detects the WAVESHAPER.V2 PowerShell backdoor which communicates with C2 via base64 encoded JSON beacons and supports PE injection and script execution" author = "GTIG" md5 = "04e3073b3cd5c5bfcde6f575ecf6e8c1" date_created = "2026/03/31" date_modified = "2026/03/31" rev = 1 platforms = "Windows" family = "WAVESHAPER.V2" strings: $ss1 = "packages.npm.org/product1" ascii wide nocase $ss2 = "Extension.SubRoutine" ascii wide nocase $ss3 = "rsp_peinject" ascii wide nocase $ss4 = "rsp_runscript" ascii wide nocase $ss5 = "rsp_rundir" ascii wide nocase $ss6 = "Init-Dir-Info" ascii wide nocase $ss7 = "Do-Action-Ijt" ascii wide nocase $ss8 = "Do-Action-Scpt" ascii wide nocase condition: uint16(0) != 0x5A4D and filesize < 100KB and 5 of ($ss*) } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 | rule G_Hunting_Downloader_suspected_UNC1069_PS_1 { meta: description = "Detects PowerShell dropper associated with suspected UNC1069 and Axios npm package supply chain attack. Associated to WAVESHAPER.V2" author = "GTIG" md5 = "089e2872016f75a5223b5e02c184dfec" date_created = "2026/03/31" date_modified = "2026/03/31" rev = 1 platforms = "Windows" strings: $ss1 = "start /min powershell -w h" ascii wide nocase $ss2 = "[scriptblock]::Create([System.Text.Encoding]::UTF8.GetString" ascii wide nocase $ss3 = "Invoke-WebRequest -UseBasicParsing" ascii wide nocase $ss4 = "-Method POST -Body" ascii wide nocase $ss5 = "packages.npm.org/product1" ascii wide nocase condition: uint16(0) != 0x5A4D and filesize < 5KB and all of them } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 | rule G_Hunting_Downloader_SILKBELL_1 { meta: description = "Detects the obfuscated version of the JS NPM supply chain downloader using Base64 obfuscation and custom XOR. Associated with WAVESHAPER.V2" author = "GTIG" md5 = "7658962ae060a222c0058cd4e979bfa1" date_created = "2026/03/31" date_modified = "2026/03/31" rev = 1 platforms = "Any" strings: $ss1 = "OrDeR_7077" ascii wide fullword $ss2 = "String.fromCharCode(S^a^333)" ascii wide $ss3 = "\"TE9DQUw^\".replaceAll(\"^\",\"=\")" ascii wide $ss4 = "\"UFM_\".replaceAll(\"_\",\"=\")" ascii wide $ss5 = "\"U0NSXw--\".replaceAll(\"-\",\"=\")" ascii wide $ss6 = "\"UFNfQg--\".replaceAll(\"-\",\"=\")" ascii wide $ss7 = "\"d2hlcmUgcG93ZXJzaGVsbA((\".replaceAll(\"(\",\"=\")" ascii wide condition: uint16(0) != 0x5A4D and filesize < 100KB and all of them } |
