Заражение популярной библиотеки Axios: атака на цепочку поставок npm поставила под угрозу тысячи организаций

Атака стала возможной после захвата учётной записи одного из сопровождающих (maintainer) библиотеки Axios в репозитории пакетов npm. Злоумышленники использовали доступ для публикации вредоносных обновлений под версиями v1.14.1 и v0.30.4. Ключевой особенностью инцидента стало то, что сам исходный код Axios не был изменён. Вместо этого атакующие добавили в файл зависимостей "package.json" ссылку на сторонний пакет "plain-crypto-js@4.2.1". Таким образом, при стандартной установке Axios через менеджер пакетов npm автоматически и незаметно для разработчика загружался и исполнялся вредоносный компонент.

Этот компонент, "plain-crypto-js", представляет собой кроссплатформенный троянец удалённого доступа (Remote Access Trojan, RAT), способный поражать системы под управлением Windows, macOS и Linux. Его основная задача - проведение разведки в системе и обеспечение устойчивого закрепления (persistence) для долгосрочного контроля. При этом троянец обладает функцией самоуничтожения, что затрудняет его обнаружение. Как сообщают исследователи, весь процесс от установки пакета до полного компрометирования системы занимает около 15 секунд, после чего вредоносный код активно удаляет следы своего присутствия.

Механизм атаки был продуман для обхода внимания разработчиков. После установки заражённой версии Axios срабатывает стандартный хук "postinstall" npm, который запускает обфусцированный скрипт-дроппер на Node.js. Этот скрипт определяет операционную систему жертвы и запрашивает у сервера управления и контроля (Command-and-Control, C2) специфичную полезную нагрузку. Для маскировки сетевого трафика запросы оформлялись так, чтобы походить на легитимные обращения к реестру npm. В зависимости от платформы загружался и исполнялся различный код: скомпилированный бинарный файл для macOS, PowerShell-скрипт для Windows или Python-скрипт для Linux. Несмотря на разницу в реализации, все варианты действовали в рамках единой архитектуры RAT, используя идентичный протокол связи с C2-сервером и выполняя одни и те же команды.

Анализ вредоносного кода показал значительное совпадение с инструментарием, ранее приписываемым хакерским группам, связанным с Корейской Народно-Демократической Республикой (КНДР). В частности, отмечается перекрытие с бэкдором WAVESHAPER, который также написан на C++ и использует схожие методы коммуникации. Это указывает на возможную государственную подоплёку атаки, целью которой мог быть не финансовый выкуп, а шпионаж и кража данных. Под удар попали организации из критически важных секторов, включая финансовые услуги, высокие технологии, здравоохранение, высшее образование, страхование и розничную торговлю.

Последствия подобной атаки на цепочку поставок трудно переоценить. Поскольку Axios является фундаментальной библиотекой для взаимодействия с API в бесчисленном количестве веб-приложений и сервисов, заражённые версии могли проникнуть в системы сборки (CI/CD) и продакшен-среды тысяч компаний. Это создаёт риски не только утечки конфиденциальных данных и ключей доступа, но и полного захвата контроля над инфраструктурой. Более того, атака подрывает доверие к экосистеме открытого программного обеспечения, где безопасность часто зависит от добросовестности и бдительности отдельных сопровождающих.

Для организаций, которые могли стать жертвами этой атаки, критически важно провести немедленную инвентаризацию. Необходимо проверить все проекты на наличие скомпрометированных версий Axios (1.14.1 и 0.30.4) и пакета "plain-crypto-js". Также следует искать артефакты вредоносного ПО в файловой системе, такие как "/Library/Caches/com.apple.act.mond" на macOS, "%PROGRAMDATA%\wt.exe" на Windows или "/tmp/ld.py" на Linux. Обнаружение любого из этих индикаторов требует немедленной изоляции системы от сети. Эксперты настоятельно рекомендуют не пытаться очистить заражённую среду, а полностью перестроить её из заведомо чистого состояния, предварительно сменив все учётные данные и ключи доступа, которые могли быть скомпрометированы. Этот инцидент служит суровым напоминанием о том, что безопасность цепочки поставок должна быть одним из главных приоритетов для любой компании, полагающейся на открытые исходные коды.

IPv4

• 142.11.206.73

Domains

• callnrwise.com
• sfrclak.com

URLs

• http://sfrclak.com:8000
• http://sfrclak.com:8000/6202033

SHA256

• 01c9484abc948daa525516464785009d1e7a63ffd6012b9e85b56477acc3e624
• 0d83030ab8bfba675fc1661f0756b6770be7dd80b1b718de3d68a01f2e79a5f4
• 20df0909a3a0ef26d74ae139763a380e49f77207aa1108d4640d8b6f14cab8ca
• 4465bdeaddc8c049a67a3d5ec105b2f07dae72fa080166e51b8f487516eb8d07
• 506690fcbd10fbe6f2b85b49a1fffa9d984c376c25ef6b73f764f670e932cab4
• 526ab39d1f56732e4e926715aaa797feb13b1ae86882ec570a4d292e7fdc3699
• 58401c195fe0a6204b42f5f90995ece5fab74ce7c69c67a24c61a057325af668
• 59336a964f110c25c112bcc5adca7090296b54ab33fa95c0744b94f8a0d80c0f
• 5b5fbc627502c5797d97b206b6dcf537889e6bea6d4e81a835e103e311690e22
• 5bb67e88846096f1f8d42a0f0350c9c46260591567612ff9af46f98d1b7571cd
• 5e2ab672c3f98f21925bd26d9a9bba036b67d84fde0dfdbe2cf9b85b170cab71
• 617b67a8e1210e4fc87c92d1d1da45a2f311c08d26e89b12307cf583c900d101
• 7b47ed28e84437aee64ffe9770d315c1b984135105f7f608a8b9579517bc0695
• 8449341ddc3f7fcc2547639e21e704400ca6a8a6841ae74e57c04445b1276a10
• 92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c9645a
• 9c64f1c7eba080b4e5ff17369ddcd00b9fe2d47dacdc61444b4cbfebb23a166c
• a224dd73b7ed33e0bf6a2ea340c8f8859dfa9ec5736afa8baea6225bf066b248
• a98e04dec3a7fe507eb30c72da808bad60bc14d9d80f9770ec99c438faa85a1a
• ad8ba560ae5c4af4758bc68cc6dcf43bae0e0bbf9da680a8dc60a9ef78e22ff7
• cdc05cd30eb53315dadb081a7b942bb876f0d252d20e8ed4d2f36be79ee691fa
• e10b1fa84f1d6481625f741b69892780140d4e0e7769e7491e5f4d894c2e0e09
• e49c2732fb9861548208a78e72996b9c3c470b6b562576924bcc3a9fb75bf9ff
• f7d335205b8d7b20208fb3ef93ee6dc817905dc3ae0c10a0b164f4e7d07121cd
• fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf