Бібліотека Axios зазнала атаки через ланцюг поставок, хакери використали викрадені npm-токени для впровадження віддаленого трояна, що торкнулося приблизно 80% хмарних середовищ

TechFlow-сообщення, 02 квітня, за повідомленням VentureBeat, зловмисники викрали токен доступу npm у головного супровідника JavaScript найпопулярнішої HTTP-бібліотеки-клієнта Axios і використали цей токен для публікації двох шкідливих версій, що містять кросплатформені трояни дистанційного доступу (RAT) (axios@1.14.1 та axios@0.30.4). Цілі — системи macOS, Windows та Linux. Зловмисні пакети перебували в реєстрі npm приблизно 3 години, після чого їх видалили.

За даними компанії з безпеки Wiz, щотижневі завантаження Axios перевищують 100 мільйонів разів; бібліотека присутня приблизно у 80% хмарних середовищ і середовищ з кодом. Компанія з безпеки Huntress виявила перші зараження вже через 89 секунд після появи шкідливих пакетів і впродовж періоду експозиції підтвердила щонайменше 135 систем, які були скомпрометовані.

Варто зазначити, що проєкт Axios раніше впровадив сучасні заходи безпеки, зокрема механізм довіреної публікації через OIDC та докази простежуваності SLSA, але зловмисникам повністю вдалося обійти ці захисти. Дослідження встановило, що під час налаштування OIDC проєкт одночасно зберігав традиційний NPM_TOKEN із тривалим терміном дії, а коли обидва способи співіснують, npm за замовчуванням надає пріоритет традиційному токену. Це означало, що атакувальникам не потрібно було обходити OIDC, щоб виконати публікацію.