Злоумышленники из Северной Кореи скомпрометировали пакет Axios — важный ИТ-компонент для связи приложений и веб-сервисов. Вредоносный код был внедрен в обновление Axios от 30 марта 2026 г. Аналитики связывают атаку с группировкой UNC1069, предположительно действующей по заказу властей Северной Кореи.
Цель: Ключевая JavaScript библиотека
Атаке подвергся пакет Axios — одна из самых востребованных библиотек для языка программирования JavaScript. Инцидент произошел в ночь на 1 апреля 2026 г. Исследователи уверенно указывают на причастность северокорейской группы UNC1069.
JavaScript входит в мировую десятку популярнейших языков, на нем создают проекты миллионы ИТ-разработчиков. Компрометация Axios потенциально затрагивает огромное число специалистов.
Эксперты по кибербезопасности подтвердили успешную атаку на Open Source библиотеку Axios, критически важную для HTTP-запросов. Действия приписывают группе UNC1069, ассоциируемой с Северной Кореей. Целью, вероятно, стала компрометация цепочки поставок ПО через зараженное обновление.
Северокорейские хакеры выбрали мишенью ключевую JavaScript библиотеку, ставя под угрозу миллионы ИТ-проектов.
Open Source ПО — модель разработки, где исходный код открыт для просмотра, изменения и распространения. Эта концепция родилась в 1980 г., когда программисты осознали силу совместной работы и обмена опытом.
Всеобъемлющий ИТ-инструмент
Axios — не конечный продукт, а вспомогательная библиотека, работающая "за кадром" в бесчисленных сценариях ИТ-разработки. Ее охват оценивается миллионами программных окружений. На 2 апреля 2026 г. неизвестно, сколько зараженных обновлений установлено, что затрудняет оценку масштаба инцидента.
Особую тревогу вызывает подготовка вредоносных версий для трех основных ОС: macOS, Windows и Linux. Это не локальная уязвимость, а спланированная кросс-платформенная атака, использующая доверие к Open Source компоненту. Такая многоплатформенность демонстрирует высокий профессионализм злоумышленников.
ИТ-сообщество оперативно реагирует на угрозу, демонстрируя солидарность и готовность защищать инфраструктуру. Специалисты по ИБ уверенно противостоят вызовам, укрепляя безопасность экосистемы Open Source.
Этапы внедрения
Обнаружен вредоносный код в обновлении библиотеки Axios от 30 марта 2026 года. Хотя угроза оперативно устранена из репозитория, до момента исправления она могла предоставлять доступ к пользовательским данным, включая учетные записи. Полученные злоумышленниками данные потенциально использовались для последующих атак, извлечения ценной информации и перемещения внутри корпоративных сетей. Этот случай напоминает о важности цифровой безопасности для всех разработчиков, применяющих подобные решения.
Механизм кибератаки реализован многоуровнево: в Axios добавлена вредоносная зависимость plain-crypto-js. Пакет служил транспортом для доставки кода. Его файл package.json содержал скрытый хук postinstall, автоматически активируемый при установке. Разработчики, обновившие библиотеку, невольно запускали цепочку заражения.
Первой ступенью компрометации выступал Silkbell — замаскированный JavaScript-дроппер в файле setup.js. Он идентифицировал операционную систему и загружал соответствующий код: PowerShell-скрипт для Windows, бинарный Mach-O для macOS, Python-бэкдор для Linux. После выполнения Silkbell самоуничтожался, заменяя package.json на чистую версию без postinstall-хука. Это усложняло анализ, поскольку следы компрометации визуально отсутствовали.
Основной бэкдор Waveshaper.v2 доставлялся на зараженные устройства. Его предшественник Waveshaper ранее применялся группировкой UNC1069 против криптовалютных компаний — C++ решение для macOS/Linux с бинарным протоколом связи. Обновленная версия использует JSON для коммуникации с сервером управления, обращаясь к нему каждые 60 секунд. Связь между версиями установили эксперты Elastic Security Labs, первыми обнаружившие функциональные совпадения.
Киберразведка, которая защищает бизнес: обзор нового российского решения безопасность
Специалисты отмечают масштабируемость операции. Техническая реализация позволяет предположить аналогичные действия через другие менеджеры пакетов — PyPI и NuGet. Фактически, при наличии кросс-платформенных инструментов и понимания процессов сборки, один npm-пакет может быть лишь началом.
Исследователи определяют инцидент как supply chain attack — атаку на цепочку поставок. Особенность в том, что пользователю не требуется совершать подозрительных действий: вредоносный код поступает через доверенный компонент приложений и сервисов. Это подчеркивает важность проверки всех обновлений, даже от надежных источников.
Возможные цели
Группировка UNC1069, по данным аналитиков, специализируется на операциях против криптовалютного и финансового секторов. Американские власти сообщают, что Северная Корея систематически использует полученные криптоактивы для финансирования государственных программ и обхода международных санкций с 2022 года.
В SentinelOne нашли: одна группа применяет вредоносные программы под macOS в атаках с 2023 года! К февралю 2026 г. эксперты связали этот коллектив с нападением на криптовалютную компанию при помощи поддельной конференции в Zoom. Аналитики заметили сходство: вредоносное ПО, использованное против Axios, похоже на старую версию Waveshaper. Интересно, именно этот инструмент применялся в истории с фальшивым Zoom.
Атака на Axios: Не Случайность, а Звено в Цепи
Кибератака на уважаемую Open Source библиотеку Axios — это яркий сигнал! Мы видим не изолированный инцидент, а элемент умной и направленной стратегии. Цель компрометация доверенных зависимостей — да, это мощная supply chain атака. Такой подход максимально эффективен для злоумышленников: скромные усилия дают доступ к огромному числу жертв одновременно!
Масштаб Угрозы и Надежная Защита
Эти находки придают уверенность: исследователи отслеживают группу! Ее активность против macOS и использование поддельных встреч Zoom уже задокументированы. Сходство инструментария в атаках усиливает важную мысль: текущее нападение на Axios логично вписывается в картину более широкой кампании. Понимание стратегии на базе взлома доверенных связей supply chain это ключ к выстраиванию надежной защиты! Это дает нам возможность действовать на опережение и укреплять безопасность.
Источник: biz.cnews.ru