Атака на библиотеку Axios поставила под угрозу миллионы проектов: компрометация произошла через социнжиниринг и npm
Компрометация популярной JavaScript-библиотеки Axios через цепочку поставок привела к распространению вредоносных версий пакета и потенциально затронула тысячи проектов. Атака была реализована через сложную схему социальной инженерии и связана с северокорейской группировкой UNC1069. Инцидент удалось быстро остановить, однако его последствия могут иметь долгосрочный характер.
Компрометация одной из самых популярных библиотек открытого кода JavaScript произошла 31 марта 2026 года: злоумышленники получили доступ к аккаунту одного из основных разработчиков Axios и опубликовали вредоносные версии пакета. Библиотека используется десятками миллионов проектов и загружается порядка 100 млн раз в неделю.
Ранее SecPost уже сообщал об этой атаке и ее связи с северокорейскими хакерами, теперь стали известны детали того, как именно была реализована компрометация.
Атака началась с обмана разработчика с использованием социальной инженерии. Злоумышленники выдали себя за представителей известной компании, воспроизвели ее цифровую среду — включая рабочее пространство в Slack (корпоративном мессенджере) и профили сотрудников — и в течение некоторого времени выстраивали доверие с разработчиком.
Ключевой момент произошел во время приглашения на встречу в Microsoft Teams: разработчику предложили установить «обновление», которое на самом деле оказалось трояном удаленного доступа (RAT) и дало атакующим полный контроль над системой.
Получив доступ, злоумышленники опубликовали в репозитории npm (менеджере пакетов для JavaScript) две вредоносные версии Axios (1.14.1 и 0.30.4). В них была добавлена зависимость plain-crypto-js, устанавливающая вредоносное ПО на устройства пользователей.
Атака развивалась быстро: вредоносные версии были опубликованы с разницей менее часа, обнаружены и удалены примерно через три часа — однако этого времени оказалось достаточно, чтобы они попали в зависимости других проектов и в автоматические процессы сборки приложений. По оценкам исследователей, вредоносный код был обнаружен примерно в 3% проанализированных сред. Потенциальные последствия включают компрометацию учетных данных, дальнейшие атаки на инфраструктуру и распространение доступа по цепочке поставок.
Эксперты отмечают, что подобные атаки особенно опасны, поскольку используют доверие к популярным open source-компонентам: компрометация одного пакета может затронуть тысячи организаций.
В ответ на инцидент команда Axios пересобрала инфраструктуру, сбросила учетные данные и изменила процесс публикации релизов, внедрив дополнительные меры защиты при выпуске новых версий.
Читайте также:
ИБ-эксперты называют 2025 год «кровавым» — такого числа успешных кибератак на российские компании не наблюдалось никогда прежде. SecPost насчитал и собрал в таблице 25 случаев, когда хакерам удалось нанести ущерб, информация о котором стала публичной. Реестр кибератак продолжает пополняться по мере того, как становится известно о новых инцидентах.
Читайте также
