Бібліотеку Axios атакували через ланцюг постачання: хакери викрали токени npm і вбудували шкідливе ПЗ, що зачепило близько 80% хмарних середовищ

Gate News повідомлення, 2 квітня, найпопулярніша HTTP-клієнтська бібліотека JavaScript Axios зазнала атакі через ланцюжок постачання. Атакувальники викрали токен доступу до npm головного супровідника Axios і використали його для публікації двох шкідливих версій, що містили кросплатформні віддалені трояни (RAT) (axios@1.14.1 та axios@0.30.4), націлених на охоплення систем macOS, Windows і Linux. Зловмисні пакети протрималися в реєстрі npm приблизно 3 години, після чого їх було видалено. За даними компанії з безпеки Wiz, щотижневі завантаження Axios перевищують 100 млн разів і він присутній приблизно в 80% хмарних та середовищах з кодом. Компанія з безпеки Huntress виявила перші інфікування вже через 89 секунд після публікації шкідливих пакетів і протягом періоду експозиції підтвердила щонайменше 135 систем, які були скомпрометовані. Варто зазначити, що проєкт Axios раніше впровадив сучасні заходи безпеки, зокрема механізм довіреної публікації OIDC та докази трасування SLSA, але атакувальники повністю обійшли ці захисти. Розслідування показало, що проєкт, налаштовуючи OIDC, все одно зберігав традиційний токен NPM_TOKEN із тривалою валідністю, а коли ці два механізми співіснували, npm за замовчуванням віддавав пріоритет традиційному токену, що давало змогу атакувальникам завершити публікацію без обходу OIDC.