Библиотека Axios подверглась атаке через цепочку поставок, хакеры использовали украденные токены npm для внедрения удаленного трояна, что затронуло примерно 80% облачных сред

Глубоководное TechFlow-сообщение: 02 апреля, как сообщает VentureBeat, злоумышленники похитили токен доступа npm у ведущего мейнтейнера самого популярного JavaScript HTTP-клиентского пакета Axios и использовали этот токен для публикации двух вредоносных версий, содержащих кроссплатформенные трояны удаленного доступа (RAT) (axios@1.14.1 и axios@0.30.4). Цели охватывают системы macOS, Windows и Linux. Вредоносные пакеты находились в npm-реестре примерно 3 часа, после чего были удалены.

По данным компании Wiz, еженедельные загрузки Axios превышают 100 миллионов раз; пакет присутствует примерно в 80% облачных и кодовых сред. Компания Huntress обнаружила первые заражения уже через 89 секунд после выхода вредоносных пакетов и в течение периода окна экспонирования подтвердила как минимум 135 скомпрометированных систем.

Стоит отметить, что ранее проект Axios уже внедрил современные меры безопасности, включая механизм доверенной публикации OIDC и доказательства трассируемости SLSA. Однако злоумышленникам удалось полностью обойти эти защиты. Расследование показало, что проект, настраивая OIDC, одновременно продолжал хранить традиционный долгоживущий NPM_TOKEN; а при совместном наличии OIDC и NPM_TOKEN npm по умолчанию отдает предпочтение традиционному токену. Это позволило атакующим выполнить публикацию без необходимости обходить OIDC.