Popularna biblioteka JavaScript została wykorzystana jako nośnik ataku, który mógł dotknąć miliony komputerów na całym świecie. Skala zagrożenia jest ogromna, a sposób działania cyberprzestępców pokazuje, jak bardzo zmieniła się natura współczesnych ataków.
Biblioteka Axios od lat należy do podstawowych narzędzi wykorzystywanych przez programistów. Używana jest w niezliczonych projektach webowych i aplikacjach. Jej popularność sprawia, że każde naruszenie bezpieczeństwa ma potencjał globalnego zasięgu.
Atak rozpoczął się od przejęcia konta jednego z opiekunów projektu. Hakerzy nie musieli ingerować w główne repozytorium na GitHub. Wystarczyło uzyskać dostęp do uprawnień publikowania paczek w ekosystemie npm. To otworzyło drogę do dystrybucji złośliwego kodu jako oficjalnej aktualizacji.
Eksperci publikowali ostrzeżenia, które zalecają traktowanie każdego systemu, w którym uruchomiono złośliwy pakiet, jako w pełni zainfekowanego, z natychmiastową wymianą wszystkich danych uwierzytelniających.
Zainfekowane wersje trafiły do tysięcy projektów
Cyberprzestępcy opublikowali dwie wersje biblioteki, które wyglądały jak zwykłe aktualizacje. W rzeczywistości zawierały ukrytą zależność udającą legalny pakiet kryptograficzny. Ten element był kluczowy dla całej operacji.
Po instalacji uruchamiał się skrypt, który łączył się z zewnętrznym serwerem i pobierał złośliwe oprogramowanie. Na komputerze pojawiał się trojan zdalnego dostępu, zdolny do przejęcia kontroli nad systemem. Atak obejmował środowiska Windows, macOS oraz Linux.
W systemie macOS plik binarny RAT był zapisywant w katalogu /Library/Caches/com.apple.act.mond, imitując proces systemowy Apple. W systemie Windows złośliwe oprogramowanie kopiowało program PowerShell do katalogu %PROGRAMDATA%wt.exe i wykonywało ukryty skrypt. W systemie Linux plik RAT oparty na Pythonie trafiał do katalogu /tmp/ld.py .
Najbardziej niepokojące pozostaje to, że złośliwa zależność nie była używana w kodzie. Jej jedynym celem było wykonanie ataku podczas instalacji. Taki schemat utrudnia wykrycie zagrożenia nawet doświadczonym zespołom.
Operacja zaplanowana jak precyzyjny sabotaż
Zainfekowany pakiet działał niemal niewidocznie. Po wykonaniu zadania usuwał ślady swojej obecności i przywracał pliki do stanu przypominającego oryginał. Analiza kodu stawała się znacznie trudniejsza.
Specjaliści od bezpieczeństwa wskazują, że zastosowano techniki maskowania znane z zaawansowanych kampanii cybernetycznych. Kod aktywował się dopiero w momencie instalacji. Wcześniej wyglądał jak nieszkodliwa część projektu.
To pokazuje zmianę podejścia atakujących. Zamiast uderzać w użytkowników końcowych, coraz częściej wybierają łańcuch dostaw oprogramowania. Jedno przejęte konto pozwala dotrzeć do tysięcy projektów jednocześnie.
Skala zagrożenia rośnie szybciej niż zabezpieczenia
JavaScript pozostaje jednym z najczęściej używanych języków na świecie. Biblioteki takie jak Axios są pobierane dziesiątki milionów razy tygodniowo. Nawet krótkotrwała obecność złośliwej wersji może mieć realne konsekwencje. Zainfekowane pakiety były dostępne przez kilka godzin. To wystarczyło, by trafić do części projektów, które automatycznie aktualizują zależności. W takich przypadkach użytkownik nie musi niczego instalować ręcznie. Zagrożenie pojawia się samo.
To nie pierwszy taki incydent
Eksperci zwracają uwagę na rosnącą liczbę podobnych ataków. Repozytorium npm było już wcześniej celem kampanii wykorzystujących popularne pakiety do dystrybucji złośliwego kodu. Tym razem przejęcie konta opiekuna projektu pozwoliło ominąć wiele mechanizmów weryfikacji. System uznał publikację za zaufaną.
Spodobało Ci się? Podziel się ze znajomymi!
Pokaż / Dodaj komentarze do:
Jedna z najpopularniejszych bibliotek JavaScript zainfekowana. Przejęli pakiet Axios npm