Автор Chao Cheng Zedong тема Новости

Атака на цепочку поставок затронула релизы Axios в npm: пользователям советуют срочно сменить ключи

Атака на цепочку поставок затронула релизы Axios в npm: пользователям советуют срочно сменить ключи

Два вредоносных релиза Axios в npm заставили специалистов по безопасности предупредить разработчиков: нужно немедленно сменить учетные данные и считать затронутые системы скомпрометированными — после атаки на цепочку поставок, которая «отравила» популярную JavaScript-библиотеку HTTP-клиента.

О проблеме первой сообщила компания Socket: по ее данным, версии [email protected] и [email protected] были изменены так, чтобы подтягивать [email protected] — вредоносную зависимость, которая автоматически запускалась при установке. После обнаружения эти релизы удалили из npm.

В OX Security заявили, что внедренный код может дать злоумышленникам удаленный доступ к зараженным устройствам и позволить похищать чувствительные данные — логины, API-ключи и информацию о криптокошельках.

Инцидент показывает, как компрометация одного компонента с открытым исходным кодом способна затронуть тысячи приложений, которые от него зависят, создавая риски не только для разработчиков, но и для платформ и конечных пользователей.

Эксперты по безопасности призывают сменить ключи и провести аудит

OX Security рекомендовала всем, кто устанавливал [email protected] или [email protected], считать системы полностью скомпрометированными и срочно заменить учетные данные, включая API-ключи и токены сессий.

Socket уточнила, что скомпрометированные релизы Axios включали зависимость [email protected] — пакет, опубликованный незадолго до инцидента и позже признанный вредоносным.

По данным Socket, эта зависимость была настроена на автоматический запуск через post-install-скрипт, что позволяло атакующим выполнять код на целевых системах без дополнительных действий со стороны пользователя.

Socket также посоветовала разработчикам проверить проекты и файлы зависимостей на наличие указанных версий Axios и пакета [email protected], а затем немедленно удалить или откатить все скомпрометированные версии.

Предыдущие инциденты в криптосфере подчеркивают риски цепочек поставок

Ранее в криптоиндустрии уже происходили случаи, когда взломы цепочек поставок приводили к утечкам данных разработчиков и к потерям средств пользователей.

3 января ончейн-исследователь ZachXBT сообщил, что в результате масштабной атаки были опустошены «сотни» кошельков в сетях, совместимых с Ethereum Virtual Machine: у каждой жертвы выводили небольшие суммы.

Исследователь по кибербезопасности Владимир С. предположил, что этот эпизод мог быть связан с декабрьским инцидентом вокруг Trust Wallet, который, как сообщалось, привел примерно к $7 млн потерь более чем в 2 500 кошельках.

Позже Trust Wallet отмечала, что причиной мог стать компромисс цепочки поставок, связанный с npm-пакетами, используемыми в процессе разработки.

Источник: Socket, OX Security