Дослідницька установа з безпеки Socket 31 березня виявила активну атаки на ланцюжок постачання на ядровий пакет npm axios. Зловмисник зламав npm-акаунт головного супровідника axios jasonsaayman, опублікував шкідливі версії та ін’єктував шкідливі залежності, щоб розгорнути кросплатформенний бекдор для віддаленого доступу (RAT). Цільові системи: macOS, Windows і Linux.
Розбір атакуючого ланцюга: повний процес від компрометації акаунта до самознищення RAT
(Джерело: Socket)
Ця подія є ретельно спланованою багатокроковою атакою на ланцюжок постачання. Зловмисник спершу зламав акаунт супровідника, змінив електронну пошту на ifstap@proton.me, а потім, використовуючи вкрадені облікові дані доступу npm, вручну опублікував шкідливі версії, повністю обходячи офіційний процес публікації axios через GitHub Actions + OIDC Trusted Publisher. Дві шкідливі версії не містили відповідних комітів, міток або записів про реліз у GitHub-репозиторії.
Підготовка зловмисника також була ретельною: контроль за іншим акаунтом (nrwise, nrwise@proton.me) приблизно за 18 годин до того дозволив спершу опублікувати чисту приманку plain-crypto-js@4.2.0 для створення історії, а потім 30 березня о 23:59 UTC опублікувати шкідливу версію 4.2.1.
Після виконання шкідливого postinstall hook розгортальник RAT (setup.js) підключився до командно-контрольного сервера sfrclak[.]com:8000, щоб завантажити платформозалежні корисні навантаження. Після завершення розгортальник самоусунувся та замінив package.json на чистий підставний файл (stubs), через що під час подальшої перевірки у директорії node_modules неможливо виявити сліди зараження.
Ключові технічні показники атаки (IOC)
Версії шкідливих пакетів: axios@1.14.1, axios@0.30.4, plain-crypto-js@4.2.1
C2-сервер: sfrclak[.]com / 142.11.206.73 / [.]com:8000
Сліди зараження на macOS: /Library/Caches/com.apple.act.mond
Сліди зараження на Windows: %PROGRAMDATA%\wt.exe, %TEMP%\6202033.vbs
Сліди зараження на Linux: /tmp/ld.py
Акаунт зловмисника: jasonsaayman (зламано), nrwise (акаунт, створений атакувальником)
Невідкладні дії: як підтвердити ураження та кроки з усунення
Оскільки розгортальник, що здійснював ін’єкцію, після виконання самознищується, неможливо підтвердити зараження шляхом перевірки директорії node_modules. Правильний підхід — безпосередньо перевірити lockfile (package-lock.json або yarn.lock) на наявність записів версій axios@1.14.1 або axios@0.30.4.
Відкат безпечної версії: користувачам 1.x знизити версію до axios@1.14.0; користувачам 0.x — до axios@0.30.3, а також після видалення каталогу plain-crypto-js з node_modules повторно встановити залежності.
Якщо в системі буде виявлено будь-які сліди зараження RAT (com.apple.act.mond, wt.exe, ld.py), не намагайтеся видалити їх «на місці». Потрібно відновити систему з відомого нормального стану та негайно зробити ротацію всіх можливих компрометованих облікових даних, включно з токенами npm, AWS access key, SSH private key, ключами конфігурації CI/CD та значеннями у файлах .env.
Для розробників у сфері криптовалют і Web3 axios є ключовою HTTP-бібліотекою для багатьох DeFi-протоколів, фронтендів, інструментів керування криптоактивами та сервісів запитів ончейн-даних. Компрометоване середовище розробки може призвести до витоку приватних ключів гаманця, seed-фраз (мнемонік) або API-ключів для атакувальника. Рекомендовано першочергово переглянути та зробити ротацію всіх чутливих облікових даних.
Часті запитання
Як підтвердити, чи встановлено уражену версію axios?
Оскільки розгортальник, що здійснював ін’єкцію, після виконання самознищується, неможливо підтвердити зараження шляхом перевірки директорії node_modules. Слід безпосередньо перевірити lockfile на наявність записів axios@1.14.1 або axios@0.30.4 і перевірити, чи існує в node_modules каталог plain-crypto-js. Можна виконати npm list axios або напряму здійснити пошук рядків версій у lockfile.
Який особливий вплив ця атака ланцюжка постачання має на криптовалютних та Web3-розробників?
axios — поширена HTTP-бібліотека для Web3-фронтендів і інтерфейсів DeFi-протоколів. Компрометоване середовище розробки може розкрити атакувальнику чутливі облікові дані, зокрема приватні ключі, seed-фрази, API-ключі бірж або ключі конфігурації CI/CD. Відповідним розробникам слід першочергово виконати аудит і ротацію всіх крипто-залежних облікових даних, які могли бути скомпрометовані.
Як запобігти майбутнім атакам на ланцюжок постачання npm?
Основні запобіжні заходи включають: у CI/CD завжди використовувати npm ci --ignore-scripts, щоб вимкнути postinstall hook; фіксувати версії для критично важливих пакетів залежностей; регулярно переглядати журнали змін lockfile; а також розгортати інструменти Socket, Aikido тощо для моніторингу в реальному часі залежностей на предмет шкідливого ПЗ.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Гонконгська 50-річна жінка стала жертвою онлайн-шахрайства під час знайомств, зазнавши збитків понад 200 тис. доларів США, а шахрай видавав себе за експерта з інвестування в криптовалюти
Поліція Гонконгу розкрила справу про шахрайство з інвестиціями в криптовалюту: одна жінка потрапила на шахрайську схему в Instagram, її збитки перевищили 2 млн юанів. Шахраї видавали себе за інвестиційних експертів, спонукали її переказувати гроші та здійснювали обмін готівки кількома частинами. Поліція нагадує, що під час онлайн-знайомств потрібно бути пильними та остерігатися шахрайства з переказами.
GateNews21хв. тому
Мережевий шахрайський інста-роман: «експерт» з інвестицій у криптовалюту ошукав п’ятдесятирічну жінку на 2 млн
Пліснянська поліція нещодавно оприлюднила випадок онлайн-шахрайства під час знайомств, унаслідок якого збитки перевищили 2 мільйони гонконгських доларів. Шахраї в Instagram самі почали переписку та фліртували, а після встановлення довіри під приводом «інвестицій в криптовалюту» спонукали потерпілих протягом семи разів обміняти кошти на USDT і здійснити перекази. Поліція нагадує громадянам розпізнавати ознаки шахрайства та радить користуватися інструментами протидії шахрайству, залишатися пильними щодо будь-яких онлайн-знайомств, які передбачають переказ коштів.
MarketWhisper4год тому
Джастін Сан Критикує токен WLFI Через занепокоєння щодо прозорості
Джастін Сан розкрив, що проєкт World Liberty Finance має приховані функції в своїх смартконтрактах, які дозволяють конфіскацію активів без повідомлення. Це порушує принципи децентралізації, завдає шкоди правам інвесторів і підриває довіру в блокчейн-спільноті.
BlockChainReporter4год тому
Контракт Hyperbridge HandlerV1 у мережі Ethereum став мішенню повторної атаки з використанням доказу MMR, збитки — близько 242 000 доларів США
Контракт Hyperbridge HandlerV1 у мережі Ethereum зазнав повторної атакі з використанням MMR-доказів, збитки становлять приблизно 242 тисячі доларів США. Зловмисник використав вразливість, щоб повторити історичні докази для привілейованих операцій; захист від повторного відтворення не зміг ефективно прив’язати запит до корисного навантаження.
GateNews4год тому
Hyperbridge зазнав атаки на міжланцюговий міст, зловмисник карбував 1 мільярд DOT токенів і влаштував продаж (dump)
Контракт кросчейн-шлюзу Hyperbridge нещодавно зазнав атаки: зловмисники підробили повідомлення, змінивши права адміністратора керування контрактом, незаконно карбували 1 млрд (10^9) токенів DOT, повністю їх продали, але через недостатню ліквідність у підсумку отримали лише близько 23,7 тис. доларів США прибутку. Цей інцидент не вплинув на безпеку нативного ланцюга Polkadot.
MarketWhisper4год тому
Жінку з Гонконгу ошукали за допомогою криптовалютної шахрайської схеми «зривання свині»; збитки перевищили 2 млн гонконгських доларів
Після повідомлення поліції Гонконгу, жінка віком понад 50 років стала жертвою шахрайства з криптовалютою, її збитки перевищили 2 мільйони гонконгських доларів. Шахраї встановили з нею стосунки через Instagram, спонукали до інвестування та вимагали неодноразові перекази, а врешті зникли безвісти.
GateNews5год тому
