Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Supply chain-атака на Axios: вредоносные версии npm

3 мин
31 марта 2026 года в экосистеме npm произошёл серьёзный supply chain-инцидент, затронувший широко используемую JavaScript-библиотеку Axios, которую загружают около 100 миллионов раз в неделю. В течение примерно трёх часов в публичный репозиторий были опубликованы две вредоносные версии — v1.14.1 и v0.30.4. Пользователям, успевшим загрузить скомпрометированные пакеты, рекомендовано немедленно откатиться к последним безопасным релизам — v1.14.0 или v0.30.3. По данным расследования, злоумышленники модифицировали пакеты, внедрив обманчивую зависимость от среды выполнения под названием plain-crypto-js. Эта зависимость запускается автоматически после установки и не требует какого-либо вмешательства пользователя. После активации она обращается к инфраструктуре, контролируемой актором, по адресу 142.11.206.73, и передаёт сведения об операционной системе для получения вредоносной нагрузки, специфичной для платформы. Иными словами, атака была спроектирована как многоступенчатая: сначала компроме
Оглавление

31 марта 2026 года в экосистеме npm произошёл серьёзный supply chain-инцидент, затронувший широко используемую JavaScript-библиотеку Axios, которую загружают около 100 миллионов раз в неделю. В течение примерно трёх часов в публичный репозиторий были опубликованы две вредоносные версии — v1.14.1 и v0.30.4. Пользователям, успевшим загрузить скомпрометированные пакеты, рекомендовано немедленно откатиться к последним безопасным релизам — v1.14.0 или v0.30.3.

Что произошло

По данным расследования, злоумышленники модифицировали пакеты, внедрив обманчивую зависимость от среды выполнения под названием plain-crypto-js. Эта зависимость запускается автоматически после установки и не требует какого-либо вмешательства пользователя. После активации она обращается к инфраструктуре, контролируемой актором, по адресу 142.11.206.73, и передаёт сведения об операционной системе для получения вредоносной нагрузки, специфичной для платформы.

Иными словами, атака была спроектирована как многоступенчатая: сначала компрометация package manager, затем автоматическое выполнение встроенного компонента, а после — доставка payload, адаптированного под конкретную ОС.

Какой payload получил каждая платформа

  • macOS — двоичный файл com.apple.act.mond, который загружается и запускается через zsh.
  • WindowsPowerShell-скрипт в формате ps1, копирующий легитимный исполняемый файл PowerShell в каталог %PROGRAM DATA% и запускающий вредоносный скрипт со скрытым выполнением и флагами обхода политики.
  • Linux — установленная полезная нагрузка в форме Python-бэкдора.

Все эти инструменты функционируют как Trojan Remote Access (RATs), предоставляя злоумышленникам возможность собирать конфиденциальную информацию и развёртывать дополнительные вредоносные программы.

Риски для организаций

Последствия атаки могут проявляться не сразу. Согласно данным расследования, скомпрометированные пакеты привели к exfiltration учётных данных, что повышает риск несанкционированного доступа к корпоративным системам.

В Cisco Talos подчеркнули, что организациям следует рассматривать любые учётные данные, использовавшиеся в системах, затронутых вредоносными пакетами, как скомпрометированные, и оперативно менять их, чтобы снизить возможный ущерб.

«Организациям рекомендуется тщательно проверять системы, которые, возможно, использовали вредоносные пакеты, на наличие любых дополнительных вредоносных полезных нагрузок, которые могут исходить от ресурсов, контролируемых актором».

Почему эта атака опасна

supply chain-атаки особенно опасны тем, что затрагивают не один продукт, а целые цепочки зависимостей. Если библиотека является частью множества приложений и сервисов, последствия компрометации могут быстро масштабироваться.

Кроме того, злоумышленники могут использовать уже полученные учётные данные для ускоренного получения финансовой выгоды, что дополнительно усугубляет инцидент и расширяет круг возможных жертв.

Контекст и выводы Cisco Talos

По текущим данным, примерно 25% из 100 основных уязвимостей, выявленных в обзоре Cisco Talos за 2025 год, затрагивают фреймворки и библиотеки, широко используемые в отрасли. Это подчёркивает сохраняющийся риск, связанный с атаками на supply chain.

Cisco Talos заявила, что продолжит отслеживать последствия инцидента и анализировать дополнительные индикаторы по мере развития расследования.

Что рекомендуется делать

  • Немедленно проверить, использовались ли версии v1.14.1 или v0.30.4.
  • Откатиться на v1.14.0 или v0.30.3.
  • Проверить системы на наличие дополнительных вредоносных payloads.
  • Считать все потенциально затронутые учётные данные скомпрометированными.
  • Срочно выполнить их ротацию.
  • Провести дополнительную проверку на признаки lateral movement и скрытого закрепления в инфраструктуре.

Вывод: инцидент с Axios вновь показывает, что даже кратковременная компрометация популярной библиотеки может создать масштабные риски для разработчиков, компаний и конечных пользователей. В условиях атак на supply chain скорость обнаружения, изоляции и замены скомпрометированных компонентов становится критически важной.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Supply chain-атака на Axios: вредоносные версии npm".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.