Популярная библиотека axios, без которой трудно представить современную веб-разработку, неожиданно оказалась в центре серьёзной атаки. Злоумышленники внедрили вредоносный код прямо в официальные версии пакета, и разработчики по всему миру начали скачивать заражённые обновления, даже не подозревая об угрозе.
Инцидент начался с компрометации учётной записи одного из основных сопровождающих проекта. Получив доступ к его npm-аккаунту, атакующие опубликовали версии axios 1.14.1 и 0.30.4 с внедрённым вредоносным компонентом. Эти релизы выглядели легитимно и обошли стандартные проверки, поскольку были выпущены от имени доверенного участника проекта.
В заражённых версиях появилась дополнительная зависимость plain-crypto-js 4.2.1. После установки пакет автоматически запускал скрытый сценарий, который загружал троян удалённого доступа. Вредоносное ПО работало на Linux, macOS и Windows, связывалось с управляющим сервером и позволяло выполнять команды, собирать данные и закрепляться в системе.
Атака оказалась тщательно подготовленной. По данным специалистов StepSecurity, вредоносные компоненты создали заранее, а публикация затронула сразу две ветки проекта с минимальным интервалом. Все следы вредоносной активности пытались уничтожить автоматически, что усложнило анализ.
Первые заражения зафиксировали почти мгновенно — менее чем через полторы минуты после публикации пакетов. Основной риск пришёлся на рабочие станции разработчиков и CI/CD-среды, где часто хранятся ключи доступа и конфиденциальные данные.
Удалось выяснить, что злоумышленники использовали скомпрометированный токен npm, который позволял публиковать обновления вне стандартного процесса через GitHub. Несмотря на включённую многофакторную аутентификацию, именно этот токен стал слабым звеном.
На заражённых устройствах вредоносный код маскировался под системные процессы. На macOS он скрывался в системных каталогах, на Windows загружался через PowerShell под видом легитимного инструмента, а на Linux распространялся как Python-скрипт. После установки троян регулярно связывался с сервером атакующих и мог выполнять любые команды.
К моменту обнаружения вредоносные версии удалили из репозитория npm. Однако специалисты советуют считать системы, где устанавливались эти релизы, полностью скомпрометированными. Рекомендуется изолировать такие машины, переустановить их из проверенных источников и сменить все учётные данные, включая ключи доступа и токены.
На фоне серии атак на цепочки поставок в open-source экосистеме инцидент с axios стал ещё одним тревожным сигналом. Связь с предыдущими атаками пока не подтверждена, но каждая успешная компрометация открывает злоумышленникам путь к новым проектам.