Библиотека Axios подверглась атаке через цепочку поставок, хакеры использовали украденные токены npm для внедрения удаленного трояна, что затронуло примерно 80% облачных сред

Сообщение Deep Tide TechFlow, 2 апреля, как сообщает VentureBeat, злоумышленники похитили npm-доступный токен главного поддерживающего самой популярной JavaScript-библиотеки HTTP-клиента Axios и использовали этот токен для публикации двух вредоносных версий, содержащих кроссплатформенные трояны удаленного доступа (RAT) (axios@1.14.1 и axios@0.30.4). Цели — системы macOS, Windows и Linux. Вредоносные пакеты находились в npm-регистре примерно 3 часа, после чего были удалены.

По данным компании по кибербезопасности Wiz, еженедельное число загрузок Axios превышает 100 миллионов, и он присутствует примерно в 80% облачных и кодовых сред. Компания Huntress обнаружила первые заражения уже через 89 секунд после появления вредоносных пакетов и в течение окна экспозиции подтвердила как минимум 135 скомпрометированных систем.

Стоит отметить, что ранее в проекте Axios были внедрены современные меры безопасности, такие как механизм доверенной публикации OIDC и доказательства прослеживаемости SLSA, но злоумышленникам удалось полностью обойти эти защиты. Расследование показало, что при настройке OIDC в проекте одновременно сохранялся традиционный NPM_TOKEN с долгим сроком действия. А поскольку при сосуществовании обоих вариантов npm по умолчанию отдавал предпочтение традиционным токенам, злоумышленнику не понадобилось обходить OIDC для выполнения публикации.