Thư viện Axios bị tấn công chuỗi cung ứng, hacker lợi dụng token npm bị đánh cắp để cấy mã độc từ xa, ảnh hưởng đến khoảng 80% môi trường đám mây

Tin nhắn của Deep Tide TechFlow, ngày 02 tháng 04, theo báo cáo của VentureBeat, kẻ tấn công đã đánh cắp token truy cập npm của người bảo trì chính thư viện client HTTP phổ biến nhất của JavaScript là Axios, và sử dụng token này để phát hành hai phiên bản độc hại có chứa mã độc RAT (công cụ điều khiển từ xa) có khả năng truy cập từ xa đa nền tảng (axios@1.14.1 và axios@0.30.4), nhắm mục tiêu bao phủ các hệ thống macOS, Windows và Linux. Các gói độc hại tồn tại trên sổ đăng ký npm khoảng 3 giờ trước khi bị gỡ bỏ.

Theo dữ liệu của công ty an ninh Wiz, lượng tải xuống của Axios mỗi tuần vượt quá 100 triệu lượt và có mặt trong khoảng 80% môi trường đám mây và mã nguồn. Công ty an ninh Huntress phát hiện lô nhiễm đầu tiên chỉ sau 89 giây kể từ khi gói độc hại được phát hành, và trong giai đoạn cửa sổ phơi bày đã xác nhận ít nhất 135 hệ thống bị xâm nhập.

Điều đáng chú ý là, trước đây dự án Axios đã triển khai các biện pháp bảo mật hiện đại như cơ chế phát hành tin cậy OIDC và các chứng chỉ truy xuất nguồn gốc SLSA, nhưng kẻ tấn công đã hoàn toàn vượt qua các lớp phòng thủ này. Điều tra cho thấy, trong khi dự án cấu hình OIDC, họ vẫn giữ lại NPM_TOKEN truyền thống có hiệu lực lâu dài, và khi hai cơ chế cùng tồn tại thì npm mặc định ưu tiên sử dụng token truyền thống, khiến kẻ tấn công không cần vượt qua OIDC vẫn có thể hoàn tất việc phát hành.