ЭКСКЛЮЗИВ: МАСШТАБНАЯ АТАКА НА NPM С ПОМОЩЬЮ КОМПРОМЕТИРОВАННОГО ПАКЕТА AXIOS
В экосистеме JavaScript разразился кризис кибербезопасности: через репозиторий npm распространяются отравленные версии критически важной библиотеки Axios, устанавливающие троян для удаленного доступа. Это классическая цепочка поставок, где вредоносное ПО маскируется под легитимное обновление.
Злоумышленники, используя скомпрометированные учетные данные одного из основных сопровождающих проекта, опубликовали пакеты axios@1.14.1 и axios@0.30.4. Эти версии тайно добавляют зависимость plain-crypto-js@4.2.1, которая затем запускает скрипт, загружающий платформо-специфичный RAT. Еженедельно эти пакеты скачивают до 100 миллионов раз, что создает беспрецедентный радиус поражения для веб-приложений и сервисов.
"Это идеальная бомба замедленного действия, — заявляет эксперт по безопасности блокчейна, пожелавший остаться неизвестным. — Эксплойт использует доверие к npm. Любой проект, установивший эти версии с активными скриптами, мог полностью скомпрометировать свои ключи и секреты, что открывает путь для будущих атак, включая ransomware".
Каждому разработчику, использовавшему Axios, необходимо срочно проверить версии зависимостей. Машины, на которых стояли зараженные пакеты, следует считать скомпрометированными, а все ключи — немедленно перевыпустить. Уязвимость такого уровня подрывает саму основу доверия к открытому исходному коду.
Этот инцидент — не просто утечка данных, это системный провал. В ближайшие месяцы мы станем свидетелями волны вторичных атак на проекты, которые стали жертвами этого трояна. Безопасность блокчейна и крипто-проектов, полагающихся на npm, теперь под большим вопросом.
Когда рушится фундамент, падает все здание.
