#news Axios скомпрометировали! Версии 1.14.1 и 0.30.4 сегодня ночью обзавелись вредоносной зависимостью, подтягивающей мультиплатформенный RAT под macOS, Windows и Linux. Проверяйте свои среды.
Axios — одна из ключевых библиотек на npm, она практически в любом приложении/решении на JavaScript. Злоумышленник скомпрометировал аккаунт основного мейнтейнера, судя по всему, стянув токен доступа. За счёт акка удалось обойти CI/CD пайплайн GutHub Actions и опубликовать троянизированные версии. Атака была хорошо спланирована, но компрометацию оперативно засекли — малварь снесли с npm через несколько часов. Но первые заражения пошли уже через минуту, и интернет ожидаемо стоит на ушах. 100 миллионов загрузок в неделю — это не шутки, постэксплуатация будет солидной. Из плюсов, могло быть гораздо хуже. Из минусов, ещё обязательно будет. И токены опять порежут. Здесь видео с обзором и ссылками на отчёты. С первой катастрофической атакой на цепочку поставок весны!
