Вхід і реєстрація
Різне · 8 квітня, 12:00 4800
Pavlo Trepytion, Technical Community Manager в DOU.ua

Джейсон Сайман, головний мейнтейнер Axios, поділився деталями того, як саме його хакнули

Пам’ятаєте нещодавно зловмисники хакнули Axios — один з найпопулярніших HTTP-клієнтів у світі?

Так от, нещодавно Джейсон Сайман, головний мейнтейнер Axios, запостив пост-мортем того, як його змогли зламати.

Як все відбулося

Хакери не шукали якихось zero-day вразливостей, не ламали інфраструктуру GitHub і не розшифровували трафік. Вони просто застосували дуже якісну, дорогу і до дрібниць продуману соціальну інженерію. Зловмисники вийшли на Джейсона, замаскувавшись під засновника цілком реальної компанії. Вони повністю скопіювали особистість керівника, бренд і запросили Саймана у спеціально створений фейковий Slack.

Цей воркспейс був налаштований просто ідеально. Там були активні канали з фейковими співробітниками, туди репостили реальні записи компанії з LinkedIn, там обговорювали якісь робочі процеси. Вони навіть створили фейкові профілі інших відомих open-source контриб’юторів, щоб остаточно приспати підозри. Якщо дивилися колись «Шоу Трумана», то можливо ви зараз зловите пару флешбеків :)

Далі настав етап безпосереднього контакту. Джейсону призначили відеодзвінок у Microsoft Teams нібито для знайомства з командою. Він підключається до мітингу, бачить групу людей, які ведуть професійну бесіду, і його рівень критичного мислення цілком природно падає. І саме в цей момент відбувається кульмінація. Під час розмови йому повідомляють, що у нього в системі бракує якогось компонента для нормального відображення чи роботи зв’язку. Йому підкидають файл, і розробник, будучи впевненим, що це банальний апдейт для Teams, власноруч встановлює його на свою робочу машину.

І цим файлом виявився троян. Все, game over. Отримавши доступ до його комп’ютера, хакери витягли його локальні сесії та токени від npm. Саме це дозволило їм опублікувати бекдор у версіях Axios напряму в реєстр пакетів, спокійно оминувши всі автоматичні перевірки коду та рев’юери на GitHub.

Ось так просто. Розробника критичного інструменту, від якого залежить половина світового вебу, зламали через звичайну довірливість і круту підготовку зловмисників.

Як не крути, але не дарма ж кажуть, що найслабша ланка в кібербезпеці — це завжди була і є людина :)

Теми: Security, постмортем
👍ПодобаєтьсяСподобалось23
До обраногоВ обраному3
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Sergey Lysak T/T Lead 12.04.2026 13:56

Коротше правило залишилось тим же
— не качай і не став незнамо що, хто б тобі це не пропонував.

Просять оновитись? Йдеш на офіційний сайт, і там береш оновлення.
І тд

Відповісти
Підтримати
Ері Майліс Software engineer 12.04.2026 11:10

бо відеодзвінки зло )

Відповісти
Підтримати
Volodymyr 09.04.2026 08:45

чим краще як спеціаліст я стаю тим більше питань в мене як безпечно керувати доступами
ось приклад — один sudo-вірус і для твоїх персональних токенів настає комунізм
причому навіть якісь залізні рішення не допоможуть, так як для авторизації всеодно потрібно «читати» а якщо ключ можна прочитати то його і віруси зіллють легко

і саме погане що у вас в компанії може бути непробивний захист. но хакери вийдуть на СЕО і через нього колупнуть систему (самий частий кейс)
то що писано в статті взагалі вищий клас і я навіть не знаю як від такого уберегтись, соціальна інженерія працює в потоці а не шаблонами, тому якщо захочуть то хакнут с таким то рівнем підготовки

Відповісти
Підтримати
Володимир Корнійчук Senior Software Engineer (C++) в Infopulse 13.04.2026 07:17
то що писано в статті взагалі вищий клас і я навіть не знаю як від такого уберегтись, соціальна інженерія працює в потоці а не шаблонами, тому якщо захочуть то хакнут с таким то рівнем підготовки

Ізоляцією середовищ. Робота на різних замовників і над особистими проєктами — з різних фізичних або віртуальних машин.

Відповісти
Підтримати
Volodymyr
Volodymyr 13.04.2026 11:31

то щось на багатому ви кажете

з точки зору рядового розробника ОК. це навіть звичайна практика коли на роботі видають вже налаштованний ноут.

но ось с точки зору ключевих спеціалістів як бути? у тебе просто повинен бути доступ до всього, це твоя праця. розкидувати на різні машини це не практично і тупо (і не спрацюе якщо е часті операції переносу)

зараз не уйти від того що в твоїй системі безпеки обов’язково буде ланка, компрементація якої компроментуе весь ланцюг.
найкраще шо е на зараз це адмін-панелі від хостерів і тд — тому що у них своя безпека і якщо тебе зламають то без otp і так далі нічого не зроблять якщо налаштовано правильно. тобто нема прямого доступу взагалі тільки через сторонне рішення де воно стоїть. но тут вже інше — тут легше тоді колупати одразу хостера і вистачае історій «наш амазон взламали» і тд.
тобто весь захист тільки на рівні невідомості — поки хакери не знають точно куди краще атакувати, ти в беспеці 50/50 (як пощастить) но якщл знають то все, тут вже залежить від рівня тих хто ламае

Відповісти
Підтримати
Володимир Корнійчук
Oleksii Full Stack 08.04.2026 23:01

Дніпровські коллцентри виходять на новий рівень

Відповісти
Підтримати
Oleksandr Suvorov Corporal under NDA :) в AFU 08.04.2026 20:11

Чудовий детектив. Хакери — завзяті генії. Розвод — на «5» :)

Відповісти
Підтримати
Pavlo Trepytion Technical Community Manager в DOU.ua 09.04.2026 00:35

Це шедевр. Засуджую хакерів за їхні дії, але це красиво й геніально

Відповісти
Підтримати
Oleksandr Suvorov

Підписатись на коментарі

Не підписуватись
Скористайтесь акаунтом
×
з умовами використання сайту і політикою конфіденційності.