Хакери поемат контрола върху популярния JavaScript HTTP клиент

Популярният npm пакет Axios, използван за HTTP заявки в JavaScript приложения и с над 100 милиона седмични изтегляния, беше компрометиран от хакери, които публикуваха зловредни версии и заразиха потребители с remote access trojan (RAT) на Windows, Linux и macOS.

Атаката беше открита от компании за сигурност на софтуерната верига Endor Labs, Socket, Aikido и StepSecurity.

Как се е случила атаката

• Хакерите са придобили достъп до npm акаунта на основния поддръжник на Axios, Джейсън Саайман.
• Също така са компрометирали GitHub акаунта му, като са сменили имейл адреса на ifstap@proton.me.
• Публикувани са две зловредни версии на пакета:
  • axios@1.14.1 – публикувана на 00:21 UTC
  • axios@0.30.4 – публикувана на 01:00 UTC
• Зловредните версии не са имали OIDC верификация и не съответстват на GitHub комит, което е трябвало да задейства аларма.

Механизъм на инфекцията

• В пакета е добавена зловредна зависимост plain-crypto-js@^4.2.1, без промяна на основния код на Axios.
• Зависимостта изпълнява post-install скрипт, който стартира обфускиран dropper (setup.js), свързва се с C2 сървър и изтегля следващ етап според операционната система.

Windows

• Смес от VBScript и PowerShell
• Скрит Command Prompt, копира PowerShell към %PROGRAMDATA%\wt.exe
• Изтегля и изпълнява PowerShell скрипт, осигурявайки постоянство след рестарт

macOS

• AppleScript изтегля двоичен файл в /Library/Caches/com.apple.act.mond
• Маркира го като изпълним и го стартира на заден план

Linux

• Dropper изтегля Python скрипт /tmp/ld.py
• Изпълнява го с nohup на заден план

Всички платформи: RAT позволява на нападателите да:

• изпълняват команди дистанционно
• изтеглят и стартират base64-кодирани бинарни файлове
• обхождат файловата система на компрометирания хост

След инфекцията dropper-ът изтрива себе си и възстановява чист package.json за затрудняване на форензика.

Планирана, целенасочена атака

• Според StepSecurity, атаката не е случайна – зависимостта е подготвена 18 часа предварително.
• Различните payload-и според OS и самоунищожаването потвърждават внимателното планиране.
• Google Threat Intelligence Group (GTIG) свързва атаката със севернокорейската UNC1069, известна с атаки срещу финансови институции и крипто борси.
• macOS RAT е подобен на malware, използван от BlueNoroff, севернокорейска група, специализирана във финансово мотивирани кибератаки.

Засегнати потребители и препоръки

• Няма точна оценка на броя компрометирани проекти, но с около 400 милиона месечни изтегляния на Axios, потенциалът за заразяване е значителен.
• Препоръки за сигурност:
  • Проверете за axios@1.14.1, axios@0.30.4
  • Проверете за plain-crypto-js
  • Ако са открити, третирайте системата като компрометирана
• IoC (Indicators of Compromise) и C2 домейни (например sfrclak.com) са публикувани от: Endor Labs, Socket, Aikido, StepSecurity, OpenSourceMalware, Elastic, Snyk, Huntress.

Атаката срещу Axios е пореден пример за сериозна заплаха за софтуерната верига, при която дори популярни open-source библиотеки могат да станат вектор за RAT и целенасочено проникване. Редовната проверка на зависимостите и мониторингът на пакетите са критично важни за защита на разработчиците и крайните системи.