Агентство кибербезопасности и защиты инфраструктуры США (CISA) выпустило экстренное предупреждение о серьёзной компрометации цепочки поставок программного обеспечения, затронувшей широко используемый пакет Axios для менеджера пакетов npm. Инцидент, произошедший 31 марта 2026 года, представляет собой крупномасштабную угрозу для корпоративных сред разработки по всему миру. Библиотека Axios, применяемая для обработки HTTP-запросов в средах Node.js и браузерах, была скомпрометирована через отравление двух её обновлений: версий 1.14.1 и 0.30.4. При установке этих версий в систему автоматически добавлялась вредоносная зависимость "plain-crypto-js@4.2.1", которая выступала в роли загрузчика для многоступенчатой полезной нагрузки.
Внедрённая полезная нагрузка представляет собой троянца удалённого доступа (RAT), предоставляющего злоумышленникам постоянный контроль над заражёнными машинами. Если под удар попадает рабочая станция разработчика, злоумышленники получают возможность красть исходный код, критически важные переменные окружения, токены доступа и использовать скомпрометированную систему как точку входа для атак на внутреннюю корпоративную сеть. В частности, целью могут стать конвейеры непрерывной интеграции и доставки (CI/CD), что позволяет распространить влияние атаки на конечные продукты и сервисы компании. Сама по себе техника подмены зависимостей в репозиториях с открытым исходным кодом не нова, однако масштабы популярности Axios - она установлена в миллионах проектов - делают этот инцидент одним из наиболее опасных за последнее время.
Под ударом оказались не только отдельные разработчики, но и инфраструктура целых организаций, где процесс обновления зависимостей автоматизирован. CISA настоятельно рекомендует всем командам немедленно провести инвентаризацию своих репозиториев и сред разработки на предмет наличия скомпрометированных версий. Ключевыми шагами по ликвидации последствий являются откат к безопасным версиям Axios (1.14.0 или 0.30.3), полное удаление каталога "node_modules/plain-crypto-js/", а также смена всех учетных данных, которые могли быть раскрыты на заражённых системах: токенов доступа к облачным сервисам, секретов CI/CD, ключей SSH и npm-токенов. Кроме того, требуется мониторинг сетевой активности на предмет попыток соединения с доменом злоумышленников "Sfrclak[.]com" и проведение углублённого поиска угроз с помощью решений класса EDR (Endpoint Detection and Response, системы обнаружения и реагирования на инциденты на конечных точках).
Как отмечает CISA в своём официальном релизе: "Организации, использующие Axios npm, должны отслеживать и проверять репозитории кода, конвейеры CI/CD и машины разработчиков, где выполнялись команды "npm install" или "npm update" со скомпрометированной версией Axios". Этот инцидент вновь обнажает системную проблему безопасности в экосистеме открытого ПО, где доверие по умолчанию к централизованным репозиториям становится ключевым вектором атаки. Для предотвращения подобных атак в будущем эксперты рекомендуют ужесточить политики управления зависимостями, в частности, настраивать файл ".npmrc" для блокировки автоматического выполнения скриптов ("ignore-scripts=true") и установки задержки на установку свежеопубликованных пакетов ("min-release-age=7").
Инцидент с Axios служит суровым напоминанием о хрупкости современных цепочек поставок программного обеспечения. Успех атаки, способной затронуть тысячи организаций через одну зависимость, подчёркивает необходимость пересмотра подходов к безопасности на уровне всей экосистемы разработки. Это включает не только технические меры вроде обязательной многофакторной аутентификации для разработчиков и создания базовых профилей нормального поведения для инструментов сборки, но и культурные изменения, направленные на снижение слепого доверия к автоматическим обновлениям. Текущая ситуация движется в сторону вынужденного ужесточения контроля над зависимостями, где скорость внедрения новшеств будет всё чаще балансироваться с требованиями верификации и безопасности.
