Два вредоносных выпуска Axios npm вызвали у разработчиков предупреждение о необходимости ротации учетных данных и рассмотрения затронутых систем как скомпрометированных после того, как атака на цепочку поставок отравила популярный HTTP-клиент JavaScript Library.
Впервые о компрометации сообщила компания Socket, занимающаяся кибербезопасностью, которая заявила, что axios@1.14.1 и axios@0.30.4 были изменены для использования Plain-crypto-js@4.2.1, вредоносной зависимости, которая запускалась автоматически во время установки до того, как выпуски были удалены из npm.
По данным охранной компании OX Security, измененный код может предоставить злоумышленникам удаленный доступ к зараженным устройствам, позволяя им красть конфиденциальные данные, такие как учетные данные для входа, ключи API и информацию о криптовалютном кошельке.
Этот инцидент показывает, как один скомпрометированный компонент с открытым исходным кодом потенциально может распространиться на тысячи приложений, которые полагаются на него, подвергая опасности не только разработчиков, но также платформы и пользователей, подключенных к системе.
Охранные компании призывают к ротации ключей и системным проверкам
OX Security предупредила разработчиков, которые установили axios@1.14.1 или axios@0.30.4, считать свои системы полностью скомпрометированными и немедленно заменить учетные данные, включая ключи API и токены сеанса.
Сокет сообщил, что скомпрометированные выпуски Axios были изменены и включали зависимость от пакета Plain-crypto-js@4.2.1, опубликованного незадолго до инцидента и позже идентифицированного как вредоносный.
Компания заявила, что зависимость была настроена на автоматический запуск во время установки с помощью сценария после установки, что позволяет злоумышленникам выполнять код в целевых системах без дополнительного взаимодействия с пользователем.
Socket посоветовал разработчикам проверить свои проекты и файлы зависимостей на наличие затронутых версий Axios и связанного с ним пакета Plain-crypto-js@4.2.1, а также немедленно удалить или откатить любые скомпрометированные версии.
Более ранние инциденты с криптовалютами подчеркивают риски цепочки поставок
Предыдущие инциденты с криптовалютами показали, как нарушения в цепочке поставок могут перерасти от кражи информации разработчиков до потерь кошельков пользователей.
3 января следователь ZachXBT сообщил, что «сотни» кошельков в сетях, совместимых с виртуальными машинами Ethereum, были истощены в результате широкомасштабной атаки, в ходе которой у каждой жертвы были перекачаны небольшие суммы.
Исследователь кибербезопасности Владимир С. заявил, что инцидент потенциально связан с декабрьским взломом Trust Wallet, который привел к убыткам примерно в 7 миллионов долларов на более чем 2500 кошельках.
Позже в Trust Wallet заявили, что нарушение могло возникнуть из-за взлома цепочки поставок с участием пакетов npm, используемых в рабочем процессе разработки.
