Повільний Туман позначив шкідливі релізи axios, які підтягують звичайний plain-crypto-js шкідливий ПЗ, наражаючи розробників криптовалют на кросплатформні RAT і вкрадені облікові дані через npm.

Огляд

• Slow Fog позначив [email protected] і [email protected] як зловмисні після компрометації облікового запису мейнтейнера.
• Вставлений [email protected] пакет скидає кросплатформний троян віддаленого доступу через postinstall-скрипти.
• Розробникам, які використовують [email protected], закликають ротацію облікових даних і перевірку хостів, оскільки npm відкочує axios до 1.14.0.

Блокчейн-компанія з безпеки Slow Fog оприлюднила термінове нагадування про безпеку після того, як щойно опубліковані [email protected] і [email protected] релізи підтягують зловмисну залежність [email protected], перетворюючи один із найширше використовуваних HTTP-клієнтів JavaScript на інструмент атак ланцюга постачання проти розробників криптовалют. Axios бачить понад 80 мільйонів щотижневих завантажень у npm, тож навіть короткочасна компрометація може поширитися на бекенди гаманців, торгові боти, біржі та інфраструктуру DeFi, побудовану на Node.js. У своєму повідомленні Slow Fog попередила, що “користувачі, які встановили [email protected] через npm install -g, потенційно наражені на ризик”, рекомендуя негайну ротацію облікових даних і ретельне розслідування на стороні хостів щодо ознак компрометації.

Атака ґрунтується на фальшивому пакеті криптографії, [email protected], який тихо додається як нова залежність і використовується лише для виконання обфускованого postinstall-скрипта, що скидає кросплатформний троян віддаленого доступу, націлений на системи Windows, macOS і Linux.

Компанія StepSecurity пояснила, що “жодна з шкідливих версій не містить жодного рядка шкідливого коду всередині Axios самого по собі”, і що натомість “обидва ін’єктують фальшиву залежність, [email protected], єдина мета якої — запустити postinstall-скрипт, що розгортає кросплатформний троян віддаленого доступу (RAT).” Дослідницька команда Socket зазначила, що зловмисний пакет plain-crypto-js було опубліковано за лічені хвилини до скомпрометованого релізу axios, назвавши це “координованою атакою ланцюга постачання” проти екосистеми JavaScript.

Обліковий запис мейнтейнера axios викрадений

За даними StepSecurity, зловмисні релізи axios були опубліковані з використанням вкрадених облікових даних npm, що належали основному мейнтейнеру “jasonsaayman”, дозволяючи атакувальникам обійти звичайний релізний потік проєкту на основі GitHub. “Це діюча компрометація ланцюга постачання в [email protected], який щойно залежить від [email protected] — пакета, опублікованого годинами раніше та ідентифікованого як обфусковане шкідливе ПЗ, що виконує shell-команди й стирає сліди”, — написав інженер з безпеки Джуліан Харріс у LinkedIn. Тепер npm видалив шкідливі версії й повернув вирішення axios до 1.14.0, але будь-яке середовище, яке підтягнуло 1.14.1 або 0.3.4 у вікно атаки, залишається під ризиком, доки секрети не буде ротаовано і системи не буде відновлено.

Ця компрометація перегукується з попередніми інцидентами npm, які напряму націлювалися на користувачів криптовалют, зокрема кампанією 2025 року, під час якої 18 популярних пакетів на кшталт chalk і debug тихо підміняли адреси гаманців, щоб викрасти кошти, змусивши CTO Ledger Чарльза Гільєме́ коментувати, що “уражені пакети вже були завантажені понад 1 мільярд разів”. Дослідники також задокументували зловмисне ПЗ npm, яке краде ключі з гаманців Ethereum, XRP і Solana, а SlowMist оцінила, що криптогакі та шахрайства — зокрема бекдорні пакети й атаки ланцюга постачання за допомогою ШІ — спричинили понад $2,3 мільярда збитків лише в першій половині 2025 року. Наразі порада Slow Fog є категоричною: знизьте версію axios до 1.14.0, виконайте аудит залежностей на наявність будь-яких слідів [email protected] або openclaw і вважайте, що будь-які облікові дані, яких торкалися ці середовища, скомпрометовані.

Попередні попередження про ланцюг постачання програмного забезпечення

У попередній історії crypto.news про атаки на ланцюг постачання JavaScript Гільєме́ з Ledger попереджав, що скомпрометовані пакети npm із понад 2 мільярдами щотижневих завантажень створюють системний ризик для dApps і гаманців, побудованих на Node.js. Інша історія детально описала, як Група Лазаря з КНДР впроваджувала шкідливі пакети npm, щоб зробити бекдор у середовищах розробників і націлитися на користувачів гаманців Solana та Exodus. Третя історія crypto.news про шкідливе ПЗ наступного покоління показала, як бекдорні атаки на ланцюг постачання через npm і недорогі інструменти ШІ допомогли злочинцям віддалено керувати понад 4,200 машинами розробників і сприяли втратам у криптовалюті на мільярди доларів.