Бібліотека Axios зазнала атаки через ланцюг поставок, хакери використали викрадені npm-токени для впровадження віддаленого трояна, що торкнулося приблизно 80% хмарних середовищ

Глибоководне повідомлення TechFlow, 02 квітня, за повідомленням VentureBeat, зловмисники викрали токен доступу npm у головного супровідника найпопулярнішої бібліотеки HTTP-клієнта JavaScript Axios і використали цей токен для публікації двох шкідливих версій, що містять кросплатформні трояни віддаленого доступу (RAT) (axios@1.14.1 та axios@0.30.4), з ціллю охопити системи macOS, Windows та Linux. Шкідливі пакети протрималися в реєстрі npm приблизно 3 години, після чого їх видалили.

За даними компанії безпеки Wiz, щотижневі завантаження Axios перевищують 100 мільйонів разів, і він присутній приблизно в 80% хмарних та середовищах з кодом. Компанія Huntress виявила перші зараження вже через 89 секунд після появи шкідливих пакетів і в період уразливого вікна підтвердила щонайменше 135 систем, які були скомпрометовані.

Варто зазначити, що проєкт Axios раніше вже впровадив сучасні заходи безпеки, зокрема механізм довіреної публікації OIDC та докази походження SLSA, але зловмисникам вдалося повністю обійти ці бар’єри. Дослідження показало, що проєкт, одночасно з конфігурацією OIDC, все ж зберігав традиційний NPM_TOKEN із тривалим строком дії, а npm за наявності обох варіантів за замовчуванням надає пріоритет традиційному токену, тож зловмисникам не потрібно було обходити OIDC, щоб виконати публікацію.