Уязвимость в популярной библиотеке Axios использована северокорейскими хакерами для атаки на цепочку поставок ПО

По данным, полученным от сторонних исследователей безопасности, 30 марта 2026 года в официальном реестре npm были обнаружены скомпрометированные версии пакетов Axios 1.14.1 и 0.30.4. Атака стала возможной после получения контроля над учётной записью одного из легитимных сопровождающих проекта. Злоумышленник опубликовал обновления, которые внешне выглядели как обычные официальные релизы, что значительно повысило вероятность их автоматической установки в проекты по всему миру. Критически важный момент заключается в том, что Axios является ключевой зависимостью для миллионов веб-приложений и сервисов, построенных на Node.js и клиентском JavaScript, что автоматически расширило потенциальную зону воздействия до глобальных масштабов.

С технической точки зрения, зловредное обновление внедряло в проект вредоносную зависимость, которая активировалась непосредственно в процессе установки пакета. Её полезная нагрузка представляла собой кроссплатформенный троян удалённого доступа, или RAT. Этот тип вредоносного ПО предназначен для скрытого управления заражённой системой. После запуска троян устанавливал связь с командным сервером, или C2, для получения дополнительных, уже платформозависимых вредоносных модулей. Особенностью атаки стала её стелс-составляющая: после выполнения основного кода, вредоносная программа пыталась удалить следы своей установки и даже подменяла метаданные пакета на "чистую" версию, чтобы затруднить последующее расследование инцидента и обнаружение компрометации.

Первые признаки активности, связанной с этой угрозой, были зафиксированы в телеметрии клиентов компании Sophos около 00:45 по всемирному координированному времени 31 марта, а уже к 01:00 UTC инцидент приобрёл массовый характер. Под удар попали системы под управлением macOS, Windows и Linux, что подтверждает кроссплатформенную природу развёрнутого троянца. Аналитики из Counter Threat Unit компании Sophos провели расследование и обнаружили связь артефактов, оставленных в скомпрометированных пакетах, с ранее известной деятельностью группы угроз, отслеживаемой под кодовым именем NICKEL GLADSTONE. Эта группировка, согласно общедоступной таксономии APT, связана с государственными интересами КНДР и традиционно фокусируется на операциях по генерации доходов для режима. Исследователи сообщили о совпадении таких ключевых признаков, как метаданные вредоносных файлов, шаблоны взаимодействия с командными серверами и использование уникального вредоносного кода, ранее наблюдаемого только в кампаниях NICKEL GLADSTONE. На основе этого анализа эксперты с высокой долей уверенности приписывают данную атаку на цепочку поставок именно этой северокорейской группе.

Последствия подобных атак носят каскадный характер. Поскольку библиотека Axios встроена в бесчисленное количество коммерческих и внутренних приложений, её компрометация создаёт риски утечки конфиденциальных данных, несанкционированного доступа к внутренним сетям организаций и установки дополнительного вредоносного ПО. Несмотря на то, что на момент публикации отчёта не было обнаружено свидетельств последующей активности злоумышленников на скомпрометированных системах, сам факт установки трояна удалённого доступа предоставляет им плацдарм для будущих операций. Особую озабоченность вызывает тот факт, что целью стала не нишевая, а фундаментальная библиотека, что указывает на стратегический выбор атакующих, направленный на максимизацию охвата.

Для организаций и разработчиков инцидент служит жёстким напоминанием о необходимости усиления контроля над зависимостями. Рекомендуемые действия включают немедленную инвентаризацию всех проектов на предмет использования уязвимых версий Axios (1.14.1 и 0.30.4) и их обновление до безопасных релизов. Кроме того, необходим тщательный анализ системных и журналов приложений на предмет аномальной активности, которая могла возникнуть в период с 30 марта. В долгосрочной перспективе следует пересмотреть процессы управления зависимостями, внедряя практики, такие как проверка контрольных сумм пакетов, использование доверенных приватных реестров с обязательной верификацией содержимого и усиленный мониторинг действий, связанных с учётными записями сопровождающих ключевых проектов с открытым исходным кодом. Борьба с атаками на цепочку поставок требует перехода от модели слепого доверия к экосистеме к модели осознанной верификации каждого компонента, от которого зависит безопасность цифровых продуктов.

IPv4

• 142.11.206.73

Domains

• callnrwise.com
• sfrclak.com

URLs

• http://sfrclak.com:8000/6202033

Emails

• ifstap@proton.me
• nrwise@proton.me

MD5

• 04e3073b3cd5c5bfcde6f575ecf6e8c1
• 089e2872016f75a5223b5e02c184dfec
• 21d2470cae072cf2d027d473d168158c
• 7658962ae060a222c0058cd4e979bfa1
• 7a9ddef00f69477b96252ca234fcbeeb
• 8c782b59a786f18520673e8d669e3b0a
• 9663665850cdd8fe12e30a671e5c4e6f
• db7f4c82c732e8b107492cae419740ab

SHA1

• 07d889e2dadce6f3910dcbc253317d28ca61c766
• 13ab317c5dcab9af2d1bdb22118b9f09f8a4038e
• 2553649f2322049666871cea80a5d0d6adc700ca
• 59faac136680104948e083b3b67a70af9bfa5d5e
• 978407431d75885228e0776913543992a9eb7cc4
• a90c26e7cbb3440ac1cad75cf351cbedef7744a8
• ae39c4c550ad656622736134035f17ca7a66a742
• b0e0f12f1be57dc67fa375e860cedd19553c464d
• d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71

SHA256

• 58401c195fe0a6204b42f5f90995ece5fab74ce7c69c67a24c61a057325af668
• 59336a964f110c25c112bcc5adca7090296b54ab33fa95c0744b94f8a0d80c0f
• 5bb67e88846096f1f8d42a0f0350c9c46260591567612ff9af46f98d1b7571cd
• 617b67a8e1210e4fc87c92d1d1da45a2f311c08d26e89b12307cf583c900d101
• 92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c9645a
• e10b1fa84f1d6481625f741b69892780140d4e0e7769e7491e5f4d894c2e0e09
• e49c2732fb9861548208a78e72996b9c3c470b6b562576924bcc3a9fb75bf9ff
• f7d335205b8d7b20208fb3ef93ee6dc817905dc3ae0c10a0b164f4e7d07121cd
• fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf