Хакеры заразили трояном популярную библиотеку Axios в реестре npm

Хакеры заразили трояном популярную библиотеку Axios в реестре npm
Хакеры заразили трояном популярную библиотеку Axios в реестре npm (image source)

Крупная уязвимость в библиотеке Axios

Эксперты по безопасности зафиксировали атаку на аккаунт ведущего разработчика библиотеки Axios в реестре npm. Хакеры опубликовали две вредоносные версии пакета axios@1.14.1 и axios@0.30.4, распространявшие кроссплатформенный троян удалённого доступа.

Как произошла атака

По сообщению Tom’s Hardware, атака была зафиксирована 30 марта и была реализована через скрытую зависимость plain-crypto-js@4.2.1, представляющую из себя поддельный пакет, замаскированный под легитимную библиотеку CryptoJS.

  • При установке был запущен сценарий, который загружал вирус, адаптированный под операционные системы macOS, Windows и Linux.
  • Вредоносный код связывался с управляющим сервером (sfrclak.com) всего через 1,1 секунды после начала установки npm-пакета.

Consequences of the attack

На macOS троян сохранялся в /Library/Caches/com.apple.act.mond, на Windows — копировал PowerShell в %PROGRAMDATA%wt.exe, на Linux — загружал Python-версию RAT в /tmp/ld.py.

Поскольку данную библиотеку скачивают около 100 млн раз в неделю, инцидент создал угрозу для огромной аудитории.

Details of the attack

Подготовка к атаке заняла около 18 часов, в течение которых хакеры загрузили чистую версию plain-crypto-js для создания истории публикаций, а затем заменили её на троян.

  • После этого через взломанный аккаунт мейнтейнера Джейсона Сааймана (Jason Saayman) с разницей в 39 минут были опубликованы заражённые ветки самой библиотеки Axios.
  • После успешного развёртывания скрипт автоматически удалял все следы своего присутствия, поэтому последующая визуальная проверка кода ничего подозрительного не показывала.

Устранение последствий

Заражённые версии пробыли в открытом доступе примерно три часа, после чего администрация npm удалила их и заблокировала вредоносную зависимость.

Крупные IT-компании, включая Snyk, Wiz и Vercel, выпустили предупреждения с рекомендацией считать пострадавшие машины полностью скомпрометированными и немедленно сменить все учётные данные.

Conclusion

Данный инцидент подчеркивает важность безопасности в IT-сфере и необходимость постоянного мониторинга и обновления программного обеспечения.

Присоединиться
Share Article
News Express Team
News Express Team

News Express' team of experienced editors and journalists delivers timely and reliable reporting on Russian politics, economics, technology and world affairs from a unique regional perspective. Stay informed with our dedicated journalists.

Related Posts

Сейчас популярно

Вратарь сборной Мали: Россия могла бы дойти до четвертьфинала Кубка Африки
Вратарь сборной Мали: Россия могла бы дойти до четвертьфинала Кубка Африки
Туман в Подмосковье 1 марта: примета на дождливое лето
Туман в Подмосковье 1 марта: примета на дождливое лето
«Первый отдел»: 6 сезон раскрывает убийство Игоря Талькова и загадочную смерть в Дубае
«Первый отдел»: 6 сезон раскрывает убийство Игоря Талькова и загадочную смерть в Дубае
Ханна описала тревожные сутки в Дубае на фоне конфликта на Ближнем Востоке
Ханна описала тревожные сутки в Дубае на фоне конфликта на Ближнем Востоке
en_USEN
ru_RURU en_USEN