СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
6 апреля
#ИБ

Компрометация Axios через npm-пакет plain-crypto-js


В supply chain Axios обнаружен вредоносный пакет plain-crypto-js

31 марта 2026 года был выявлен вредоносный npm-пакет plain-crypto-js, встроенный в скомпрометированные версии библиотеки Axios, включая ветки 0.x и 1.x. Инцидент затронул цепочку поставки программного обеспечения и продемонстрировал, как доверенные зависимости могут стать каналом скрытого внедрения вредоносного кода.

Согласно отчету, троянский пакет использует механизм жизненного цикла npm post-install для незаметного развертывания кроссплатформенного вредоносного ПО. После обычной установки зависимостей вредоносный сценарий запускается автоматически, без ведома пользователя, что существенно осложняет обнаружение компрометации на раннем этапе.

Как происходило заражение

Основной метод атаки заключался во внедрении plain-crypto-js в npm registry с последующим его включением как вложенной зависимости в Axios. В результате разработчики, выполнявшие стандартную установку, непреднамеренно получали скомпрометированный пакет и активировали вредоносный сценарий.

Вредоносное ПО маскировалось под легитимные криптографические утилиты, однако фактически выполняло функции dropper-компонента. Его задача состояла в автоматическом запуске вредоносных скриптов и дальнейшей загрузке полезной нагрузки.

Механика вредоносной активности

При установке уязвимой версии Axios основная логика активируется через вызов функции _entry(), встроенной в plain-crypto-js. После этого запускается цепочка действий, направленных на адаптацию под конкретную операционную систему и подготовку дальнейшего заражения.

  • определение платформы: Windows, macOS или Linux;
  • динамическое использование модулей fs, os и child_process;
  • создание и запуск полезной нагрузки;
  • загрузка дополнительных файлов, адаптированных под конкретную ОС;
  • сбор конфиденциальных данных и передача их на C2-сервер.

Отдельного внимания заслуживают методы уклонения от обнаружения. Вредоносное ПО запутывает команды и параметры, используя, в частности, многосимвольную замену для нарушения декодирования Base64. Это усложняет анализ и затрудняет автоматическое распознавание вредоносного кода.

Эксфильтрация данных и C2-инфраструктура

После запуска вредоносное ПО инициирует межплатформенное заражение и начинает собирать конфиденциальные данные, включая API keys и переменные среды. Информация передается на сервер управления через HTTP POST-запросы.

Такая модель поведения указывает на то, что plain-crypto-js нельзя рассматривать как обычный dropper. По сути, он функционирует как имплантат для постоянного сбора данных и непрерывной эксфильтрации, поддерживая связь с C2-инфраструктурой, включая домен sfrclak.com.

Почему инцидент опасен для supply chain

Воздействие инцидента выходит далеко за рамки одной библиотеки. Компрометация Axios создает риск для многочисленных последующих проектов, которые используют этот пакет как доверенную зависимость. Именно поэтому атаки на supply chain считаются особенно опасными: заражение распространяется через привычные механизмы разработки и часто остается незамеченным.

Инцидент наглядно демонстрирует уязвимости, присущие использованию сторонних пакетов, и показывает, насколько разрушительным может быть злоупотребление доверием к широко применяемым библиотекам.

Рекомендации по снижению рисков

Для минимизации последствий атаки рекомендуется принять следующие меры:

  • зафиксировать Axios на безопасных версиях: 1.14.0 или 0.30.3;
  • использовать настройки package.json для блокировки нежелательных транзитивных зависимостей;
  • проверить наличие известных артефактов RAT, включая setup.js и связанные сценарии полезной нагрузки;
  • удалить или изолировать все выявленные экземпляры, чтобы исключить повторное заражение;
  • заблокировать доступ к доменам C2, чтобы прекратить внешнее управление вредоносной активностью.

В целом этот инцидент подтверждает, что контроль зависимостей, аудит сторонних пакетов и мониторинг сетевой активности должны оставаться приоритетом для команд разработки и информационной безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: