Útok na JavaScriptovou knihovnu Axios rozšířil malware
JavaScriptový ekosystém čelí hrozbě. Účet správce populární knihovny Axios byl zneužit k nahrání skrytého malwaru do registru NPM, který cílil na vývojáře.
Dne 30. března došlo ke kompromitaci účtu jednoho z hlavních správců oblíbené Javascriptové knihovny Axios, která registruje zhruba 100 milionů stažení týdně. Útočník publikoval dvě upravené verze (axios@1.14.1 a axios@0.30.4).
Tyto verze obsahovaly novou, skrytou závislost s názvem plain-crypto-js@4.2.1. Tento balíček fungoval jako trojský kůň. Jeho úkolem bylo na pozadí spustit instalační skript, který se připojil k externímu serveru a stáhl program pro vzdálený přístup (RAT). Útok byl navržen tak, aby zasáhl vývojáře pracující na systémech macOS, Windows i Linux. Po úspěšné instalaci škodlivý kód automaticky smazal stopy po své aktivitě, čímž ztížil své odhalení.
Škodlivé verze byly v registru NPM veřejně dostupné přibližně dvě až tři hodiny, než došlo k jejich zablokování a odstranění. Vzhledem k tomu, že byly nahrány přímo do registru mimo standardní procesy, nenacházejí se v oficiální historii kódu na platformě GitHub.
Bezpečnostní společnosti vydaly upozornění, aby organizace i jednotlivci považovali všechny systémy, na kterých byly tyto konkrétní verze spuštěny, za kompromitované. Rovněž se důrazně doporučuje okamžitá obměna všech přístupových údajů a hesel na zasažených zařízeních.
