Исследователи обнаружили, что взломанные версии Axios устанавливали троян удаленного доступа.
Axios — это HTTP-клиент на основе обещаний для Node.js, по сути, вспомогательный инструмент, который разработчики используют «за кулисами», чтобы приложения могли взаимодействовать с Интернетом. Например, Axios упрощает и делает более надёжными для программистов такие запросы, как «получить мои сообщения с сервера» или «отправить эту форму на веб-сайт», а также избавляет их от необходимости самостоятельно писать большие объёмы низкоуровневого сетевого кода.
Поскольку он работает как в браузере, так и на серверах (Node.js), многие современные проекты на JavaScript включают его в качестве стандартного компонента. Даже если вы никогда не устанавливали Axios самостоятельно, вы можете косвенно столкнуться с ним, когда:
- Используйте веб-приложения, созданные с помощью таких фреймворков, как React, Vue или Angular.
- Используйте мобильные приложения или приложения для настольных компьютеров, созданные с помощью веб-технологий, таких как Electron, React Native и других.
- Познакомьтесь с небольшими инструментами типа «программное обеспечение как услуга» (SaaS), панелями администратора или сервисами с собственным хостингом, созданными разработчиками, которые выбрали Axios.
Это можно сравнить с водопроводной системой в вашем доме. Обычно вы не замечаете труб, но именно они доставляют воду туда, где вы открываете кран. И вам не нужно знать, где они находятся, пока не произойдет утечка.
Что случилось?
Используя утечку учетных данных одного из ведущих разработчиков Axios, злоумышленник разместил вредоносные пакеты в репозитории npm: axios@1.14.1 и axios@0.30.4. Вредоносные версии встраивают новую зависимость, plain-crypto-js@4.2.1, который нигде в исходном коде Axios не импортируется.
В совокупности эти два уязвимых пакета еженедельно скачиваются на npm до 100 миллионов раз, что означает огромный масштаб воздействия на веб-приложения, сервисы и конвейеры.
Важно отметить, что уязвимая версия Axios не указана в официальных тегах проекта на GitHub. Это означает, что под угрозой находятся разработчики и среды, в которых выполнялась команда `npm install`, приводящая к установке следующей версии:
axios@1.14.1илиaxios@0.30.4, или- зависимость
plain-crypto-js@4.2.1.
Любой рабочий процесс, в котором была установлена одна из этих версий с включенными скриптами, мог подвергнуть все встроенные секретные данные (облачные ключи, ключи развертывания репозиториев, токены npm и т. д.) риску взлома со стороны злоумышленника, действующего в интерактивном режиме, поскольку скрипт postinstall (node setup.js), запускаемый автоматически при выполнении команды npm install, загружал зашифрованный дроппер, который извлекал платформозависимый полезный груз RAT для macOS, Windows или Linux.
Если вы являетесь разработчиком, использующим Axios, считайте любой компьютер, на котором были установлены уязвимые версии, потенциально полностью скомпрометированным и обновите секретные данные. Злоумышленник мог получить доступ к репозиторию, ключам подписи, ключам API или другим секретным данным, которые могут быть использованы для внедрения бэкдоров в будущие версии или для атак на ваш бэкэнд и пользователей.
Пользователям приложений, созданных с помощью Axios, не о чем беспокоиться. Если вы просто запускаете приложение в браузере, вы не запускаете этот RAT напрямую через Axios. Путь заражения пролегает на этапе установки или сборки, а не во время работы приложения.
Индикаторы компромисса (ИКС)
Как отметили исследователи, дроппер вредоносного ПО удаляет следы своего присутствия:
«Любая проверка файла node_modules/plain-crypto-js/package.json после заражения покажет, что манифест полностью чист. Там нет скрипта postinstall, нет файла setup.js и нет никаких признаков того, что когда-либо устанавливалось что-либо вредоносное. Запуск команды npm audit или ручной осмотр каталога установленного пакета не выявят факт взлома».
Таким образом, вам следует обратить внимание на следующие IOC:
Домен: sfrclak[.]com
IP-адрес: 142.11.206.73
(оба заблокированы Malwarebytes )
Файлы:
- macOS: /Library/Caches/com.apple.act.mond
- Linux: /tmp/ld.py
- Windows: %PROGRAMDATA%\wt и %TEMP%\6202033.vbs/.ps1, которые существуют лишь на короткое время во время выполнения
Вредоносные пакеты npm:
Контрольная сумма SHA-256 файла axios@1.14.1: 2553649f2322049666871cea80a5d0d6adc700ca
Контрольная сумма SHA-256 файла axios@0.30.4: d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71
Контрольная сумма SHA-256 файла plain-crypto-js@4.2.1: 07d889e2dadce6f3910dcbc253317d28ca61c766
Мы не просто сообщаем об угрозах - мы их устраняем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.
