Атаки на supply chain: Axios, LiteLLM и кража секретов

В марте 2026 года рынок open source снова оказался под давлением: сразу несколько атак на supply chain программного обеспечения привлекли внимание специалистов по кибербезопасности. Наиболее заметным инцидентом стала компрометация пакета Axios NPM, которая, по данным отчета, была атрибутирована северокорейскому злоумышленнику. Почти одновременно была выявлена атака на LiteLLM в PyPI, нацеленная на кражу учетных данных и секретов облачной инфраструктуры.

Axios NPM: вредоносная зависимость и скрытый RAT

Инцидент с Axios начался с компрометации учетной записи NPM ведущего разработчика. Это позволило злоумышленникам опубликовать две вредоносные версии Axios, в которые была встроена скрытая зависимость plain-crypto-js@4.2.1.

Эта зависимость содержала post-installation script, который фактически выполнял функции кроссплатформенной Trojan Remote Access Trojan (RAT) для macOS, Windows и Linux. После запуска вредоносное ПО:

• устанавливало связь с C2-сервером;
• получало payload, адаптированный под конкретную платформу;
• удаляло себя после выполнения;
• подменяло файл package.json на законную версию, чтобы снизить вероятность обнаружения.

Такой подход делает атаку особенно опасной: вредоносный код активируется в момент установки зависимости, а значит, может затронуть как конечных пользователей, так и CI/CD-pipeline.

LiteLLM в PyPI: кража secrets и доступ к Kubernetes

Другая атака, о которой сообщили 26 March 2026, была связана с группой TeamPCP и библиотекой LiteLLM в PyPI. Под удар попали версии, которые оставались доступными лишь короткое время, после чего были помещены в quarantine, однако этого оказалось достаточно для распространения вредоносного кода.

Зараженные версии содержали код, ориентированный на кражу ценных секретов, включая:

• токены cloud services;
• учетные данные Kubernetes.

По оценке исследователей, подобные атаки облегчают lateral movement внутри скомпрометированной среды, обеспечивая злоумышленникам длительный доступ и закрепление в инфраструктуре.

Как работала атака

Метод атаки на Axios использовал файл package.json в Node.js-приложении. После внедрения вредоносной зависимости payload запускался автоматически при установке Axios пользователями или в рамках CI/CD-процессов.

В случае LiteLLM вредоносный код был встроен в файл .pth. Такой файл автоматически выполняется во время запуска Python, даже если сама библиотека LiteLLM не используется напрямую. Это означает, что payload мог активироваться при каждом запуске Python на хост-системе.

Уязвимые версии LiteLLM включают 1.82.7 и 1.82.8. В последней был представлен файл critical .pth, который прошел проверку целостности благодаря законным учетным данным для публикации.

Почему это важно

Обе атаки демонстрируют, насколько уязвимыми остаются open source-экосистемы, когда под угрозой оказываются учетные записи разработчиков, механизмы публикации и доверенные зависимости. Использование популярных пакетов как точки входа дает злоумышленникам масштабируемый канал для распространения вредоносного кода и компрометации downstream-систем.

Подобные инциденты подчеркивают необходимость более жесткого контроля зависимостей, усиления защиты учетных записей разработчиков и постоянного мониторинга supply chain.

На фоне роста атак эксперты советуют организациям уделять особое внимание:

• проверке целостности зависимостей;
• контролю прав доступа к репозиториям и registry;
• использованию multi-factor authentication;
• аудиту CI/CD-pipeline;
• мониторингу подозрительной активности в процессе установки пакетов.

Вывод очевиден: атаки на software supply chain продолжают оставаться одним из наиболее эффективных инструментов злоумышленников. Компрометация Axios и LiteLLM показывает, что даже широко используемые компоненты могут стать каналом для скрытой доставки RAT, кражи secrets и закрепления в корпоративной инфраструктуре.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.