Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Вредоносные пакеты npm Axios развернули RAT в средах разработчиков

3 мин
31 марта 2026 года был зафиксирован серьезный incident в сфере cybersecurity, связанный с npm-пакетами Axios. После compromise аккаунта maintainer в registry были опубликованы две malicious версии — 1.14.1 и 0.30.4. Единственным изменением в этих релизах стало добавление trojan dependency plain-crypto-js@4.2.1, которая запускала post-installation script и разворачивала cross-platform Remote Access Trojan (RAT) для macOS, Windows и Linux. Несмотря на оперативное удаление вредоносных пакетов, последствия оказались ощутимыми: заражения были обнаружены как на developer workstations, так и в Docker-средах. По данным отчета, атака развивалась через несанкционированную публикацию скомпрометированных версий Axios, после чего вредоносный код начал выстраивать цепочку исполнения в зависимости от операционной системы жертвы. Ключевую роль в инциденте сыграл post-installation script, идентифицированный как setup.js. Именно он извлекал payloads, специфичные для каждой платформы, из infrastructure c
Оглавление

31 марта 2026 года был зафиксирован серьезный incident в сфере cybersecurity, связанный с npm-пакетами Axios. После compromise аккаунта maintainer в registry были опубликованы две malicious версии — 1.14.1 и 0.30.4. Единственным изменением в этих релизах стало добавление trojan dependency plain-crypto-js@4.2.1, которая запускала post-installation script и разворачивала cross-platform Remote Access Trojan (RAT) для macOS, Windows и Linux.

Несмотря на оперативное удаление вредоносных пакетов, последствия оказались ощутимыми: заражения были обнаружены как на developer workstations, так и в Docker-средах. По данным отчета, атака развивалась через несанкционированную публикацию скомпрометированных версий Axios, после чего вредоносный код начал выстраивать цепочку исполнения в зависимости от операционной системы жертвы.

Как работала атака

Ключевую роль в инциденте сыграл post-installation script, идентифицированный как setup.js. Именно он извлекал payloads, специфичные для каждой платформы, из infrastructure command and control (C2). Развернутое malware обладало типичными для RAT возможностями, включая system reconnaissance и remote command execution.

Windows-цепочка заражения

В системах Windows цепочка процессов начиналась с запуска setup.js через node.exe. Далее сценарий находил бинарный файл Windows PowerShell и копировал его в замаскированный файл с именем wt.exe. Именно это действие вызвало security alerts в Microsoft Defender for Endpoint.

Затем был создан VBS-скрипт 6202033.vbs, который использовался для загрузки следующего этапа — PowerShell-скрипта 6202033.ps1 — с C2-инфраструктуры. После запуска этот сценарий выполнял reconnaissance и создавал batch file system.bat для persistence в системе.

Для закрепления использовался определенный registry key, позволявший выполнять команды, поступающие с C2-сервера. Связь велась через домен hxxp://sfrclak.com:8000/6202033. При этом механизм persistence включал как создание, так и запуск batch file, что обеспечивало удаление исходного script после использования.

Масштаб и последствия

Отчет указывает, что компрометация затронула не только отдельные developer environments, но и контейнерные инфраструктуры, включая Docker. Это особенно опасно, поскольку такие среды часто используются в CI/CD pipelines и могут стать точкой дальнейшего распространения supply chain compromise.

  • вредоносные версии Axios были опубликованы после compromise maintainer account;
  • в пакеты был внедрен plain-crypto-js@4.2.1;
  • post-installation script развернул cross-platform RAT;
  • заражения обнаружены на рабочих станциях разработчиков и в Docker;
  • сигналы активности были зафиксированы средствами Microsoft Defender for Endpoint.

Рекомендации для организаций

На фоне инцидента экспертная рекомендация сводится к усилению защиты developer environments и более строгому контролю supply chain. В частности, организациям следует развернуть EDR-средства для отслеживания аномалий, включая post-installation execution и нетипичные network connections.

Отдельно подчеркивается необходимость следующих мер:

  • изоляция затронутых систем;
  • ротация критически важных credentials;
  • блокировка IOCs, связанных с malicious activity;
  • проверка CI/CD workflows на предмет компрометации;
  • закрепление trusted versions Axios в package-lock.json;
  • тщательный аудит lock files на наличие suspicious packages и malicious dependencies.

Как отмечается в отчете, постоянный monitoring и своевременный incident response остаются ключевыми факторами защиты от threats в supply chain. В условиях, когда один compromised package может дать злоумышленникам доступ к десяткам или сотням downstream systems, именно дисциплина в управлении зависимостями становится критически важным элементом cybersecurity.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Вредоносные пакеты npm Axios развернули RAT в средах разработчиков".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются