Два зловмисних випуски Axios npm спонукали розробників попередити про зміну облікових даних і розглядати уражені системи як скомпрометовані після того, як атака на ланцюжок поставок отруїла популярний HTTP-клієнт JavaScript Library.
Про компрометацію вперше повідомила компанія з кібербезпеки Socket, яка заявила, що axios@1.14.1 і axios@0.30.4 були модифіковані для залучення plain-crypto-js@4.2.1, зловмисної залежності, яка запускалася автоматично під час інсталяції до видалення випусків з npm.
За словами охоронної компанії OX Security, змінений код може надати зловмисникам віддалений доступ до заражених пристроїв, дозволяючи їм викрадати конфіденційні дані, такі як облікові дані для входу, ключі API та інформацію про гаманець криптовалюти.
Цей інцидент показує, як один скомпрометований компонент з відкритим кодом може потенційно поширюватися на тисячі додатків, які покладаються на нього, піддаючи не лише розробників, але й платформи та користувачів, підключених до системи.
Охоронні компанії закликають до ротації ключів, системного аудиту
OX Security попередила розробників, які встановили axios@1.14.1 або axios@0.30.4, щоб вони розглядали свої системи як повністю скомпрометовані та негайно змінювали облікові дані, включаючи ключі API та маркери сеансу.
У Socket повідомили, що скомпрометовані випуски Axios були змінені, щоб включити залежність від plain-crypto-js@4.2.1, пакета, опублікованого незадовго до інциденту та пізніше визначеного як шкідливий.
Компанія заявила, що залежність була налаштована на автоматичний запуск під час інсталяції через сценарій після інсталяції, що дозволяє зловмисникам виконувати код на цільових системах без додаткової взаємодії з користувачем.
Socket порадив розробникам переглянути свої проекти та файли залежностей для відповідних версій Axios і пов’язаного пакета plain-crypto-js@4.2.1, а також негайно видалити або відкотити будь-які скомпрометовані версії.
Попередні інциденти з криптовалютою підкреслюють ризики ланцюжка поставок
Попередні інциденти з криптовалютою показали, як порушення ланцюга постачання можуть перерости від викраденої інформації розробника до втрат гаманця користувача.
3 січня дослідник ончейну ZachXBT повідомив, що «сотні» гаманців у мережах, сумісних з віртуальною машиною Ethereum, були виснажені в результаті широкомасштабної атаки, яка витягувала невеликі суми від кожної жертви.
Дослідник кібербезпеки Володимир С. сказав, що цей інцидент був потенційно пов’язаний із грудневим зломом, що вплинув на Trust Wallet, що призвело до збитків приблизно на 7 мільйонів доларів США через понад 2500 гаманців.
Пізніше Trust Wallet заявив, що порушення могло виникнути через компрометацію ланцюжка поставок, пов’язану з пакетами npm, які використовуються в процесі розробки.
