Одна из самых популярных JavaScript-библиотек — Axios — стала жертвой хакерской атаки: злоумышленник получил доступ к npm-аккаунту мейнтейнера и опубликовал выложил версии пакета, которые устанавливали троян удалённого доступа на компьютеры разработчиков, пишет Tom’s Hardware.
Одна из самых популярных JavaScript-библиотек — Axios — стала жертвой хакерской атаки: злоумышленник получил доступ к npm-аккаунту мейнтейнера и опубликовал выложил версии пакета, которые устанавливали троян удалённого доступа на компьютеры разработчиков, пишет Tom’s Hardware.
Атакующий опубликовал две версии — 1.14.1 и 0.30.4, чтобы покрыть и новую, и старую ветку библиотеки. В них добавили скрытую зависимость plain-crypto-js, замаскированную под популярную crypto-js. Эта зависимость запускала скрипт, который подключался к серверу управления, скачивал RAT под конкретную операционную систему (macOS, Windows или Linux) и уничтожал следы установки.
Атака была подготовлена заранее: сначала злоумышленник загрузил «чистую» версию вредоносного пакета, чтобы создать историю публикаций, а затем версию с трояном. После этого через взломанный аккаунт мейнтейнера опубликовал заражённые версии Axios. Вредоносный код начинал связываться с сервером управления примерно через секунду после установки скрипта, который удалял себя и подменял файлы на чистые, так что при проверке пакета позже ничего подозрительного уже не было видно.
Axios — довольно популярная библиотека, в менеджере пакетов npm у неё около 100 млн загрузок в неделю. Заражённые версии были доступны всего несколько часов, после чего их удалили из npm. Но эксперты по безопасности предупреждают, что если на устройство ставилась одна из этих версий, систему нужно считать полностью скомпрометированной и менять все ключи, токены и пароли.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.