Библиотека Axios подверглась атаке цепочки поставок: хакеры украли токены npm и внедрили трояна, затронув примерно 80% облачной инфраструктуры

Gate News сообщение, 2 апреля, самая популярная среди разработчиков JavaScript HTTP-библиотека-клиент Axios подверглась атаке цепочки поставок. Злоумышленники похитили токен доступа npm у главного мейнтейнера Axios и использовали этот токен для публикации двух вредоносных версий, содержащих кроссплатформенный троян удаленного доступа (RAT) (axios@1.14.1 и axios@0.30.4), нацеленных на покрытие macOS, Windows и Linux. Вредоносные пакеты находились на npm-репозитории около 3 часов, после чего были удалены. По данным компании Wiz, еженедельные загрузки Axios превышают 100 млн раз, и он присутствует примерно в 80% облачных и кодовых сред. Компания Huntress зафиксировала первые заражения уже через 89 секунд после публикации вредоносных пакетов и в течение окна экспозиции подтвердила как минимум 135 скомпрометированных систем. Стоит отметить, что ранее проект Axios уже внедрил современные меры безопасности, включая OIDC доверенную публикацию и доказательства прослеживаемости SLSA, однако атакующему удалось полностью обойти эти защиты. Расследование показало, что при настройке OIDC проект продолжал хранить традиционный постоянно действующий NPM_TOKEN, а при сосуществовании двух вариантов npm по умолчанию отдает приоритет традиционному токену, из-за чего атакующему не пришлось преодолевать OIDC, чтобы выполнить публикацию.