: Взломанная учетная запись мейнтейнера позволила злоумышленникам внедрить кроссплатформенный троян в Axios, который загружается 100 млн раз в неделю. — theregister.com
Одна из наиболее широко используемых HTTP-клиентских библиотек npm на короткое время превратилась в средство доставки вредоносного ПО после того, как злоумышленники захватили учетную запись одного из мейнтейнеров и внедрили троян удаленного доступа (RAT) в два, казалось бы, легитимных релиза axios. Это описывается как «одна из самых значительных атак на цепочку поставок npm в истории».
Зараженные версии, «axios@1.14.1» и «axios@0.30.4», попали в реестр npm, прежде чем их успели удалить, хотя и не до того, как их успели загрузить некоторые невезучие разработчики и конвейеры CI. Вместо того чтобы вмешиваться в собственный код axios, злоумышленники пошли более тонким путем, внедрив зависимость, которой там не место и которая не играет никакой роли в функциональности библиотеки.
Axios — это широко используемый JavaScript HTTP-клиент, на который разработчики полагаются для отправки запросов между приложениями и веб-сервисами. Он встроен во все: от фронтенд-приложений до бэкенд-систем, и его загружают около 100 миллионов раз в неделю, что означает, что даже недолговечный компрометация может быстро распространиться.
Релизы также не прошли через обычный процесс сборки проекта. Фирма по безопасности StepSecurity обнаружила, что обе версии были опубликованы через скомпрометированную учетную запись npm «jasonsaayman», основного мейнтейнера проекта, который, по сообщениям, был заблокирован в учетной записи во время публикации пакетов.
Злоумышленники заменили адрес электронной почты учетной записи на анонимный почтовый ящик ProtonMail и вручную опубликовали зараженные пакеты через npm CLI, полностью обойдя конвейер CI/CD GitHub Actions проекта и меры защиты, которые разработчики склонны считать по умолчанию включенными.
Добавленный пакет, «plain-crypto-js@4.2.1», существовал исключительно как механизм доставки. Его скрипт post-install отправляет сигнал домой, загружает полезную нагрузку второго этапа и начинает развертывание вредоносного ПО, адаптированного под то, что он обнаружит. На macOS он маскируется под системный демон, на Windows использует PowerShell, а на Linux переключается на бэкдор на Python. Он также пытается замести следы, стирая улики, которые могут выдать его присутствие.
StepSecurity заявила, что кампания продемонстрировала уровень планирования, далеко выходящий за рамки обычного быстрого захвата npm. «Это не было оппортунистическим», — сказал Ашиш Курми, технический директор и соучредитель фирмы. «Вредоносная зависимость была подготовлена за 18 часов. Три отдельных полезных нагрузки были предварительно собраны для трех операционных систем. Обе ветки релизов были затронуты в течение 39 минут. Каждый след был спроектирован так, чтобы самоуничтожиться. Это одна из самых операционно сложных атак на цепочку поставок, когда-либо задокументированных против топ-10 пакета npm».
Инцидент также произошел в непростой период для npm. Кампании, такие как «Shai-Hulud» и ее продолжение «Shai-Hulud 2.0», показывают, что злоумышленники все чаще нацеливаются на саму цепочку поставок программного обеспечения, внедряя вредоносные пакеты для кражи учетных данных, захвата сред или незаметного сохранения постоянства в инструментарии разработчиков.
Разработчикам, установившим любую из затронутых версий, настоятельно рекомендуется принять немедленные меры. «Если вы установили axios@1.14.1 или axios@0.30.4, считайте, что ваша система скомпрометирована», — сказал Курми.
На практике это означает удаление зависимостей, смену учетных данных и, для некоторых, полную пересборку машин с нуля. Учитывая, насколько широко используется axios, процесс очистки не будет быстрым. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page