Масштаб мартовской атаки на библиотеку Axios оказался гораздо серьёзнее, чем предполагалось ранее. Специалисты из команды OpenSourceMalware обнаружили три вредоносных пакета в реестре NPM, которые не просто повторяют тактику исходного инцидента, но и используют те же самые криптографические ключи для заражения систем разработчиков. Эта находка кардинально меняет представление об угрозе: то, что считалось трёхчасовым инцидентом, на деле оказалось долгосрочной и хорошо спланированной операцией.
Описание
Речь идёт о пакетах redeem-onchain-sdk, nicegui и period-newline. Первый маскируется под инструмент для работы с блокчейн-платформой Polymarket, два других выдают себя за утилиты для форматирования текста. На первый взгляд между ними нет ничего общего, однако анализ внутреннего устройства показал пугающую связь. Все три пакета содержат одинаковый ключ XOR-шифрования OrDeR_7077, который впервые был замечен в ходе атаки на Axios в конце марта 2026 года.
Разница между кампаниями - в инфраструктуре управления. Если оригинальная атака использовала сервер sfrclak[dot]com и порт 8000, то новые пакеты общаются с командным центром по адресу 18.208.244[.]120:9999. Такой подход свидетельствует о продуманной тактике: злоумышленник сохранил вредоносный потенциал, но сменил индикаторы компрометации, чтобы обойти защитные механизмы, настроенные на отражение первой волны.
Механизм заражения остался прежним. При установке любого из трёх пакетов через стандартную команду npm install срабатывает скрипт postinstall, который запускает сильно запутанный вредоносный код из файла dist/index5_test.js. Процесс включает несколько этапов. Сначала вредонос пытается удалить свои следы и переписать файл package.json, чтобы установка выглядела безобидной. Затем начинается систематический сбор конфиденциальных данных, после чего вся информация шифруется и отправляется на сервер злоумышленников.
Технический анализ показал высокий уровень сложности вредоносного кода. Он использует комбинацию методов запутывания: массивы строк с кодировкой base64, расшифровку через алгоритм AES-256-CTR с жёстко заданным ключом, а также позиционно-зависимое XOR-преобразование. Специалистам OpenSourceMalware удалось идентифицировать этот тип запутывания с точностью 98 процентов, что говорит о знакомстве авторов с предыдущими кампаниями.
Цели для кражи данных выбраны не случайно. Вредонос последовательно сканирует систему на предмет файлов с переменными окружения, учётных данных AWS, приватных SSH-ключей, конфигурации Docker, токенов аутентификации NPM и содержимого сетевых профилей. Кроме того, он собирает системную информацию: имя компьютера, имя пользователя, внешний IP-адрес, историю коммитов Git за последние 30 дней и даже данные из хранилищ браузера на платформе Windows.
Обнаруженный отчёт указывает на то, что злоумышленники действовали с поразительной скоростью. Оригинальная атака на Axios началась 30 марта 2026 года. Вредоносные версии библиотеки были удалены из реестра NPM уже 31 марта около трёх часов ночи. И уже 1 апреля, менее чем через 18 часов после блокировки, в реестре появился пакет redeem-onchain-sdk версии 1.0.0. Это означает, что злоумышленник заранее подготовил резервную инфраструктуру и лишь ждал момента для развёртывания.
В течение апреля и мая пакеты активно обновлялись. Пакет redeem-onchain-sdk прошёл несколько итераций, достигнув версии 1.0.7 к концу апреля. Вслед за ним появились nicegui и period-newline. Злоумышленники действовали почти два месяца, пока внимание сообщества было приковано к известным индикаторам первой атаки. Всё это время вредоносная сеть спокойно собирала учётные данные разработчиков, уверенных, что угроза устранена.
Особую тревогу вызывает расширение списка целей. Если оригинальная атака на Axios была направлена на широкий круг разработчиков, то появление пакета redeem-onchain-sdk, который маскируется под инструмент для работы с криптовалютной платформой, указывает на интерес злоумышленников к сообществу разработчиков децентрализованных приложений и криптотрейдеров. Это говорит о том, что атакующий не просто сохранял присутствие, а активно расширял зону поражения.
Для специалистов по информационной безопасности это открытие означает необходимость пересмотреть подход к защите цепочки поставок программного обеспечения. Простая блокировка известных индикаторов компрометации оказалась недостаточной мерой. Злоумышленник, обладающий достаточными ресурсами и терпением, способен обойти такие барьеры, просто развернув новую инфраструктуру. Криптографический анализ и поведенческие методы обнаружения становятся не просто дополнительными инструментами, а обязательными элементами защиты.
Разработчикам, которые в период с апреля по май 2026 года устанавливали любой из трёх указанных пакетов, необходимо срочно принять меры. Следует удалить пакеты, проверить системы на наличие файла index5_test.js и лога /tmp/.redeem_err.log, а также сменить все учётные данные, которые могли быть скомпрометированы. Особое внимание стоит уделить ключам доступа к облачным сервисам, SSH-ключам и токенам для систем управления версиями.
История с продолжением атаки на Axios наглядно демонстрирует, что современные угрозы цепочки поставок становятся всё более изощрёнными. Злоумышленники готовы играть вдолгую, создавая резервные каналы и используя криптографические зацепки для сохранения контроля над похищенными данными. Сообществу разработчиков и специалистам по безопасности предстоит извлечь из этого инцидента серьёзные уроки. Реагирование на инцидент не заканчивается блокировкой известных индикаторов - оно требует постоянного мониторинга и анализа на предмет скрытых связей между, казалось бы, разрозненными событиями.
Индикаторы компрометации
IPv4 Port Combinations
- 142.11.206.73:8000
- 18.208.244.120:9999
Domains
- sfrclak.com
NPM packages
- npm/axios@0.30.4
- npm/axios@1.14.1
- npm/nicegui@0.1.4
- npm/period-newline@0.1.0
- npm/plain-crypto-js@4.2.0
- npm/redeem-onchain-sdk@1.0.7
