Популярну JavaScript-бібліотеку Axios, яку використовують у тисячах проєктів, скомпрометували через атаку на ланцюг постачання. У заражених версіях хакери сховали троян, який міг потрапити в застосунки разом з оновленням залежностей.
Популярну JavaScript-бібліотеку Axios, яку використовують у тисячах проєктів, скомпрометували через атаку на ланцюг постачання. У заражених версіях хакери сховали троян, який міг потрапити в застосунки разом з оновленням залежностей.
Як повідомляє DOU, у npm з’явилися шкідливі версії [email protected] та [email protected], куди додали заражену залежність [email protected]. Ці релізи не з’являлися в офіційному GitHub репозиторії Axios, що вказує на несанкціоновану публікацію. За технічним розбором, який опублікували дослідники з компанії Socket, пакет містив троян із можливістю віддаленого виконання команд.
Атака була розрахована на типовий сценарій оновлення проєктів. Якщо розробники не фіксували точну версію бібліотеки, система могла автоматично підтягнути заражене оновлення. Після встановлення спрацьовував прихований скрипт, який завантажував шкідливий код під конкретну операційну систему.
На macOS троян встановлювався як фоновий процес, збирав дані про систему та надсилав їх на сервер хакерів. У Windows використовувався PowerShell із маскуванням під системні файли, а в Linux — простий Python-скрипт, який запускався у фоні. У всіх випадках шкідливий код намагався закріпитися в системі та приховати свою присутність.
Окрема небезпека в тому, що після запуску вірус видаляв сліди в директорії проєкту, через що заражена бібліотека виглядала як звичайна. Це ускладнює виявлення проблеми навіть для досвідчених розробників.
Фахівці радять перевірити проєкти на наявність [email protected], [email protected] і [email protected]. Якщо ці версії використовувалися, варто вважати скомпрометованими ключі, токени та інші доступи й перевипустити їх.
Раніше dev.ua писав про те, як у бібліотеці litellm, яку використовують для роботи з LLM-моделями, виявили шкідливий код. Заражена версія могла автоматично збирати з комп’ютера або сервера ключі доступу, паролі, токени та інші секрети й відправляти їх зловмисникам.
