Флаги Slow Fog о вредоносных релизах axios, которые подгружают вредоносное ПО plain-crypto-js, подвергая разработчиков криптовалют риску кросс-платформенных RAT и украденных учетных данных через npm.

Краткое резюме

• Slow Fog объявляет [email protected] и [email protected] вредоносными после компрометации учетной записи мейнтейнера.
• Внедренный пакет [email protected] сбрасывает кросс-платформенный троян удаленного доступа через сценарии postinstall.
• Разработчикам, использующим [email protected], настоятельно рекомендуется сменить учетные данные и проверить хосты, поскольку npm откатывает axios до 1.14.0.

Компания по блокчейн-безопасности Slow Fog выпустила срочное напоминание о безопасности после того, как только что опубликованные релизы [email protected] и [email protected] подтянули вредоносную зависимость, [email protected], превратив один из самых широко используемых HTTP-клиентов JavaScript в оружие цепочки поставок против разработчиков криптовалют. Axios получает более 80 миллионов еженедельных загрузок в npm, то есть даже кратковременный компрометирующий инцидент может распространиться на бэкенды кошельков, торговых ботов, биржи и инфраструктуру DeFi, построенную на Node.js. В своем уведомлении Slow Fog предупредила, что «пользователи, установившие [email protected] через npm install -g, потенциально подвергаются воздействию», и рекомендовала немедленную ротацию учетных данных и тщательное расследование на стороне хостов на предмет признаков компрометации.

Атака строится вокруг поддельного криптографического пакета, [email protected], который незаметно добавляется в качестве новой зависимости и используется исключительно для выполнения обфусцированного сценария postinstall, который сбрасывает кросс-платформенный троян удаленного доступа, нацеленный на системы Windows, macOS и Linux.

Как объяснила компания StepSecurity, «ни одна вредоносная версия не содержит ни единой строки вредоносного кода внутри самого Axios», и что вместо этого «оба внедряют поддельную зависимость, [email protected], единственная цель которой — выполнить сценарий postinstall, развертывающий кросс-платформенный троян удаленного доступа (RAT)». Команда исследователей Socket отметила, что вредоносный пакет plain-crypto-js был опубликован всего за несколько минут до скомпрометированного релиза axios, назвав это «согласованной атакой цепочки поставок» против экосистемы JavaScript.

Взлом учетной записи мейнтейнера Axios

По данным StepSecurity, вредоносные релизы axios были отправлены с использованием украденных учетных данных npm, принадлежащих основному мейнтейнеру «jasonsaayman», что позволяло атакующим обходить обычный релизный процесс проекта, завязанный на GitHub. «Это живая компрометация цепочки поставок в [email protected], которая теперь зависит от [email protected] — пакета, опубликованного на несколько часов раньше и идентифицированного как обфусцированное вредоносное ПО, выполняющее командные оболочки и стирающее следы», — написал инженер по безопасности Джулиан Харрис в LinkedIn. Теперь npm удалил вредоносные версии и вернул разрешение axios к 1.14.0, но любая среда, которая подтянула 1.14.1 или 0.3.4 в период атаки, остается под риском, пока не будут выполнены ротация секретов и пересборка систем.

Компрометация перекликается с более ранними инцидентами в npm, которые напрямую нацеливались на пользователей криптовалют, включая кампанию 2025 года, в которой 18 популярных пакетов вроде chalk и debug молча подменяли адреса кошельков, чтобы украсть средства, побудив CTO Ledger Чарльза Гиллеме предупредить, что «затронутые пакеты уже были скачаны более 1 миллиарда раз». Исследователи также задокументировали вредоносное ПО npm, которое ворует ключи из кошельков Ethereum, XRP и Solana, а SlowMist оценила, что криптохакерства и мошенничества — включая пакеты с бэкдорами и атаки цепочки поставок с помощью ИИ — привели к потерям более $2,3 млрд только в первой половине 2025 года. Пока же совет Slow Fog прямолинеен: понизить версию axios до 1.14.0, провести аудит зависимостей на предмет любых следов [email protected] или openclaw и считать, что любые учетные данные, затронутые этими средами, скомпрометированы.

Предыдущие предупреждения о цепочке поставок ПО

В предыдущей истории crypto.news об атаках на цепочку поставок в JavaScript Guillemet из Ledger предупреждал, что скомпрометированные пакеты npm с более чем 2 миллиардами еженедельных загрузок представляют системный риск для dApps и кошельков, построенных на Node.js. Другая история подробно описывала, как группа Lazarus из Северной Кореи размещала вредоносные пакеты npm для бэкдор-доступа в среды разработчиков и нацеливалась на пользователей кошельков Solana и Exodus. Третья история crypto.news о вредоносном ПО следующего поколения показала, как бэкдор-атаки на цепочку поставок через npm и недорогие инструменты ИИ помогли преступникам удаленно контролировать более 4,200 машин разработчиков и способствовали потерям на миллиарды долларов в криптовалюте.