Aktualizacja 31 marca 2026, 13:28 UTC: Ten artykuł został zaktualizowany o komentarze Abdelfattaha Ibrahima, starszego inżyniera bezpieczeństwa ofensywnego w Hacken.
Dwa złośliwe wydania Axios npm skłoniły do ostrzeżeń dla deweloperów, aby rotowali dane uwierzytelniające i traktowali dotknięte systemy jako skompromitowane po ataku na łańcuch dostaw, który zainfekował popularną bibliotekę klienta HTTP JavaScript.
Kompromitacja została po raz pierwszy zgłoszona przez firmę cyberbezpieczeństwa Socket, która stwierdziła, że [email protected] i [email protected] zostały zmodyfikowane, aby pobrać [email protected], złośliwą zależność, która uruchamiała się automatycznie podczas instalacji, zanim wydania zostały usunięte z npm.
Według firmy bezpieczeństwa OX Security, zmieniony kod może dać atakującym zdalny dostęp do zainfekowanych urządzeń, umożliwiając im kradzież wrażliwych danych, takich jak dane uwierzytelniające logowania, klucze API i informacje o portfelach kryptowalut.
Incydent pokazuje, jak pojedynczy skompromitowany komponent open-source może potencjalnie rozprzestrzenić się na tysiące aplikacji, które na nim polegają, narażając nie tylko deweloperów, ale także platformy i użytkowników połączonych z systemem.
Firmy bezpieczeństwa wzywają do rotacji kluczy i audytów systemów
OX Security ostrzegło deweloperów, którzy zainstalowali [email protected] lub [email protected], aby traktowali swoje systemy jako w pełni skompromitowane i natychmiast rotowali dane uwierzytelniające, w tym klucze API i tokeny sesji.
Socket poinformował, że skompromitowane wydania Axios zostały zmodyfikowane, aby zawierały zależność od [email protected], pakietu opublikowanego krótko przed incydentem i później zidentyfikowanego jako złośliwy.
Powiązane: Rozszerzenie przeglądarki Trust Wallet zostało wyłączone przez „błąd" Chrome Store, mówi CEO
Firma powiedziała, że zależność została skonfigurowana tak, aby uruchamiać się automatycznie podczas instalacji za pomocą skryptu post-install, umożliwiając atakującym wykonanie kodu na systemach docelowych bez dodatkowej interakcji użytkownika.
Socket poradził deweloperom, aby przejrzeli swoje projekty i pliki zależności pod kątem dotkniętych wersji Axios i powiązanego pakietu [email protected], oraz aby natychmiast usunęli lub wycofali wszelkie skompromitowane wersje.
Abdelfattah Ibrahim, starszy inżynier bezpieczeństwa ofensywnego w Hacken, powiedział Cointelegraph, że kompromitacja może mieć poważne konsekwencje dla aplikacji związanych z kryptowalutami, które polegają na Axios w operacjach backendowych.
"To zła wiadomość dla dappów i aplikacji, które zajmują się kryptowalutami, ponieważ Axios odgrywa ogromną rolę w wywołaniach API" - powiedział, zauważając, że dotknięte systemy mogą obejmować integracje giełd, sprawdzanie sald portfeli i transmisje transakcji.
Ibrahim powiedział, że złośliwe oprogramowanie wdrożone w ataku działa jako pełny trojan zdalnego dostępu, umożliwiając atakującym bezpośrednią interakcję ze skompromitowanymi systemami. Dodał, że incydent podkreśla szerszą słabość w sposobie obsługi ryzyk łańcucha dostaw.
Wcześniejsze incydenty kryptowalutowe podkreślają ryzyko łańcucha dostaw
Wcześniejsze incydenty kryptowalutowe pokazały, jak naruszenia łańcucha dostaw mogą eskalować od skradzionej informacji deweloperskiej do strat portfeli użytkowników końcowych.
3 stycznia śledczy onchain ZachXBT poinformował, że „setki" portfeli w sieciach kompatybilnych z Ethereum Virtual Machine zostały opróżnione w szeroko zakrojonym ataku, który wyciągał małe kwoty od każdej ofiary.
Badacz cyberbezpieczeństwa Vladimir S. powiedział, że incydent był potencjalnie powiązany z grudniowym naruszeniem dotykającym Trust Wallet, które spowodowało około 7 milionów dolarów strat w ponad 2 500 portfelach.
Trust Wallet później stwierdził, że naruszenie mogło pochodzić z kompromitacji łańcucha dostaw obejmującej pakiety npm używane w jego procesie rozwoju.
Magazyn: Nikt nie wie, czy kryptografia bezpieczna kwantowo w ogóle zadziała
Źródło: https://cointelegraph.com/news/axios-npm-supply-chain-attack-malicious-dependency?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
