BlueNoroff атакует NPM: вредоносный Axios и supply chain

В марте 2026 года была раскрыта атака supply chain с использованием пакета NPM Axios — широко применяемого HTTP-client для JavaScript. Расследование показало, что инцидент, вероятно, связан с BlueNoroff, северокорейской группировкой, известной финансово мотивированными операциями.

Как произошла компрометация

По данным анализа, уязвимость возникла после компрометации учетной записи одного из первоначальных разработчиков Axios. Это позволило злоумышленникам опубликовать вредоносную версию пакета — 1.14.1.

Обновление содержало postinstall script в файле package.json, который запускал setup.js во время установки. Такой механизм обеспечивал скрытое выполнение вредоносного JavaScript-дроппера и затрагивал пользователей Windows, Linux и macOS.

Признаки связи с BlueNoroff

Следствие обратило внимание на индикаторы и адреса электронной почты, связанные с атакой. Они совпали с известными действиями BlueNoroff, что указывает на возможное повторное использование их устоявшихся TTP — tactics, techniques and procedures.

Особую обеспокоенность вызвало то, что связанный с инцидентом адрес электронной почты был зарегистрирован в Proton Mail. Это вызвало вопросы к целостности сопровождения пакета и безопасности цепочки поставки.

Инфраструктура атаки

В ходе расследования были отслежены IP-адреса и домены, использованные в рамках вредоносной активности. В частности, домен sfrclak.com был разрешен для IP-адреса 142.11.206.73.

Изначально на этом адресе не было открытых портов или активных служб, однако в день объявления об атаке было зафиксировано, что на порту 8000/TCP начала работать HTTP service.

Кроме того, характерный HTTP response с этого IP-адреса и с другого связанного адреса показал, что на них использовался Node.js web application framework Express. Это помогло выявить общие инфраструктурные шаблоны.

Повторяющиеся признаки в предыдущих операциях

Дополнительный анализ выявил еще один IP-адрес — 23.254.203.244 — с аналогичными эксплуатационными характеристиками. Ранее они уже были описаны в связке с BlueNoroff в отдельном исследовании.

Ранее Field Effect сообщал об использовании этого IP-адреса в кампании с вредоносным ПО-стиллером, нацеленным на канадский сервис online gambling.

Общие инструменты и тактики

Как в недавней атаке на Axios, так и в более ранних инцидентах, связанных с BlueNoroff, наблюдались схожие методы. Среди них:

• использование curl для передачи инструментов;
• применение языков сценариев, включая Apple Script и Unix shell, для выполнения команд;
• ориентация на финансовую выгоду как ключевой мотив операций.

Вывод

Совпадающие индикаторы, инфраструктурные признаки и общая тактика позволяют рассматривать мартовскую supply chain-атаку на Axios как часть более широкого набора операций, связанных с BlueNoroff. Ситуация подчеркивает необходимость постоянной бдительности в экосистеме NPM и в более широкой JavaScript supply chain.

Как следует из материалов расследования, BlueNoroff может все активнее использовать эти направления для получения финансовой выгоды по мере дальнейшего развития своих кампаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.