Обновление 31 марта 2026 г., 13:28 UTC: Эта статья была обновлена, чтобы добавить комментарии от Абдельфаттаха Ибрагима, старшего инженера по наступательной безопасности в Hacken.
Два вредоносных релиза Axios npm побудили к предупреждениям для разработчиков о необходимости сменить учетные данные и считать затронутые системы скомпрометированными после атаки на цепочку поставок, которая отравила популярную библиотеку HTTP-клиента JavaScript.
О компрометации первой сообщила компания по кибербезопасности Socket, которая заявила, что [email protected] и [email protected] были изменены для подключения [email protected], вредоносной зависимости, которая запускалась автоматически во время установки, прежде чем релизы были удалены из npm.
По данным компании по безопасности OX Security, измененный код может предоставить злоумышленникам удаленный доступ к зараженным устройствам, позволяя им похищать конфиденциальные данные, такие как учетные данные для входа, ключи API и информацию о криптовалютном кошельке.
Инцидент показывает, как один скомпрометированный компонент с открытым исходным кодом может потенциально распространиться на тысячи приложений, которые полагаются на него, подвергая опасности не только разработчиков, но и платформы и пользователей, подключенных к системе.
Компании по безопасности призывают к смене ключей и аудиту систем
OX Security предупредила разработчиков, установивших [email protected] или [email protected], считать свои системы полностью скомпрометированными и немедленно сменить учетные данные, включая ключи API и токены сеанса.
Socket сообщила, что скомпрометированные релизы Axios были изменены, чтобы включить зависимость от [email protected], пакета, опубликованного незадолго до инцидента и позже идентифицированного как вредоносный.
Связанное: Расширение браузера Trust Wallet выведено из строя из-за «ошибки» Chrome Store, говорит генеральный директор
Компания заявила, что зависимость была настроена на автоматический запуск во время установки через пост-установочный скрипт, что позволяло злоумышленникам выполнять код в целевых системах без дополнительного взаимодействия с пользователем.
Socket посоветовала разработчикам проверить свои проекты и файлы зависимостей на наличие затронутых версий Axios и связанного пакета [email protected], а также немедленно удалить или откатить любые скомпрометированные версии.
Абдельфаттах Ибрагим, старший инженер по наступательной безопасности в Hacken, сказал Cointelegraph, что компрометация может иметь серьезные последствия для приложений, связанных с криптовалютой, которые полагаются на Axios для backend-операций.
«Это плохая новость для dapps и приложений, которые работают с криптовалютой, потому что Axios играет огромную роль в вызовах API», — сказал он, отметив, что затронутые системы могут включать интеграции бирж, проверки баланса кошелька и трансляции транзакций.
Ибрагим сказал, что вредоносное ПО, развернутое в атаке, функционирует как полноценный троян удаленного доступа, позволяя злоумышленникам напрямую взаимодействовать со скомпрометированными системами. Он добавил, что инцидент подчеркивает более широкую слабость в том, как обрабатываются риски цепочки поставок.
Более ранние криптоинциденты подчеркивают риски цепочки поставок
Более ранние криптоинциденты показали, как нарушения цепочки поставок могут перерасти от кражи информации разработчиков до потерь пользовательских кошельков.
3 января ончейн-следователь ZachXBT сообщил, что «сотни» кошельков в сетях, совместимых с Ethereum Virtual Machine, были опустошены в результате широкой атаки, которая выкачивала небольшие суммы у каждой жертвы.
Исследователь кибербезопасности Владимир С. заявил, что инцидент потенциально связан с декабрьским взломом, затронувшим Trust Wallet, который привел к убыткам примерно в 7 млн $ в более чем 2 500 кошельках.
Trust Wallet позже заявил, что взлом мог произойти из-за компрометации цепочки поставок, связанной с npm-пакетами, используемыми в его рабочем процессе разработки.
Журнал: Никто не знает, будет ли вообще работать квантово-защищенная криптография
Источник: https://cointelegraph.com/news/axios-npm-supply-chain-attack-malicious-dependency?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
