Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Компрометация Axios: supply chain атака через npm и RAT

3 мин
Атака на Axios стала показательным примером того, как supply chain compromise может быть использован для масштабного внедрения вредоносного кода через экосистему npm. По данным отчета, злоумышленники скомпрометировали учетную запись npm сопровождающего Axios, Джейсона Саймана, после чего в короткий промежуток времени опубликовали две вредоносные версии широко используемого пакета — axios@1.14.1 и axios@0.30.4. Операция выстроена по пятиэтапной схеме: захват учетной записи, поэтапная подготовка зависимостей, внедрение полезной нагрузки, кроссплатформенное развертывание RAT и уничтожение следов активности. Такая последовательность указывает на заранее спланированную кампанию, нацеленную не просто на распространение вредоносного ПО, а на скрытное проникновение в доверенную цепочку поставок программного обеспечения. Центральным элементом атаки стал сложный dropper, который определял операционную систему жертвы и загружал соответствующий RAT для конкретной платформы. В зависимости от среды
Оглавление

Атака на Axios стала показательным примером того, как supply chain compromise может быть использован для масштабного внедрения вредоносного кода через экосистему npm. По данным отчета, злоумышленники скомпрометировали учетную запись npm сопровождающего Axios, Джейсона Саймана, после чего в короткий промежуток времени опубликовали две вредоносные версии широко используемого пакета — axios@1.14.1 и axios@0.30.4.

Операция выстроена по пятиэтапной схеме: захват учетной записи, поэтапная подготовка зависимостей, внедрение полезной нагрузки, кроссплатформенное развертывание RAT и уничтожение следов активности. Такая последовательность указывает на заранее спланированную кампанию, нацеленную не просто на распространение вредоносного ПО, а на скрытное проникновение в доверенную цепочку поставок программного обеспечения.

Как работал вредоносный dropper

Центральным элементом атаки стал сложный dropper, который определял операционную систему жертвы и загружал соответствующий RAT для конкретной платформы. В зависимости от среды выполнения использовались разные варианты вредоносного кода:

  • macOS — скомпилированный бинарный файл Mach-O;
  • Windows — безфайловый PowerShell-имплант;
  • Linux — скрипт Python, работающий исключительно на стандартных библиотеках.

Особенность цепочки исполнения заключается в том, что она построена так, чтобы не оставлять заметных артефактов. После развертывания dropper самоуничтожается, а вредоносный package.json заменяется чистой заглушкой. Это значительно усложняет последующий анализ инцидента и затрудняет обнаружение компрометации.

Обфускация и управление инфраструктурой

Для сокрытия критически важных строк, включая адреса управления C2 и сценарии полезной нагрузки, злоумышленники применили два уровня обфускации: XOR и reversed Base64. В отчете отмечается, что производный конечный узел управления — sfrclak.com:8000 — использовался для направления payload в зависимости от выявленной платформы.

В состав RAT входили типовые команды, позволяющие выполнять широкий спектр действий на скомпрометированной системе:

  • kill — завершение процесса;
  • peinject — удаление бинарных файлов;
  • runscript — выполнение скрипта;
  • rundir — просмотр файлов в каталоге.

Платформенные особенности и обход защиты

Отдельного внимания заслуживает вариант для macOS, который, по данным исследования, обходил Gatekeeper за счет специального подхода к code signing. Это свидетельствует о высоком уровне адаптации инструментария под защитные механизмы платформы.

В свою очередь, Windows RAT обеспечивал закрепление в системе через ключ запуска в реестре, тогда как PowerShell-имплант работал только в памяти и не создавал устойчивых файловых следов. Для Linux варианта характерна более низкая зрелость: исследователи отмечают, что он не смог корректно реализовать команду удаления бинарных файлов из-за ошибок кодирования, что может указывать на спешку в разработке.

Признаки связи с TA444 / BlueNoroff

Авторы отчета указывают, что совокупность признаков соответствует известной тактике TA444 / BlueNoroff, подгруппы северокорейской группировки Lazarus. В пользу этой версии говорят и признаки дублирования инфраструктуры: использование уникальных ETag на C2-серверах, а также общие шаблоны хостинга, включая частое применение Hostwinds для подготовки серверов.

Используемая тактика демонстрирует сохранение управляемой инфраструктуры и указывает на преднамеренное целевое воздействие на software supply chain, чтобы получить доступ к системам, к которым разработчики имеют конфиденциальный доступ.

Почему инцидент важен для индустрии

Атака на Axios наглядно показывает, насколько опасными становятся компрометации в экосистемах с высоким уровнем доверия. Вредоносное обновление популярного пакета способно быстро распространиться по множеству проектов, затронув разработчиков, корпоративные среды и downstream-зависимости.

Отчет подчеркивает необходимость постоянного мониторинга действий, связанных с управлением пакетами, а также оперативной проверки любых установок версий Axios, затронутых компрометацией. При выявлении признаков использования таких версий требуется немедленно оценить масштаб инцидента и заменить потенциально скомпрометированные системы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Компрометация Axios: supply chain атака через npm и RAT".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.