Atak na Axios npm: przewodnik po ograniczaniu skutków
Podsumowanie
Microsoft ostrzegł, że złośliwe wersje Axios npm 1.14.1 i 0.30.4 zostały wykorzystane w ataku na łańcuch dostaw przypisywanym grupie Sapphire Sleet. Organizacje korzystające z tych pakietów powinny natychmiast zmienić sekrety, przejść na bezpieczne wersje oraz sprawdzić stacje deweloperskie i systemy CI/CD pod kątem naruszenia.
Wprowadzenie
Microsoft ujawnił poważnie naruszenie łańcucha dostaw npm dotyczące Axios, jednej z najczęściej używanych bibliotek JavaScript do obsługi HTTP. Ponieważ Axios jest powszechnie instalowany na stacjach roboczych deweloperów i w potokach CI/CD, incydent ten ma szerokie konsekwencje dla bezpieczeństwa łańcucha dostaw oprogramowania w środowiskach Windows, macOS i Linux.
Co się stało
31 marca 2026 opublikowano dwie złośliwe wersje pakietu Axios:
Według Microsoft Threat Intelligence wydania te dodawały złośliwą zależność [email protected], która uruchamiała skrypt po instalacji podczas npm install lub aktualizacji pakietu. Hook instalacyjny łączył się z infrastrukturą kontrolowaną przez atakującego i pobierał drugi etap zdalnego trojana dostępowego (RAT).
Microsoft przypisuje tę kampanię grupie Sapphire Sleet, północnokoreańskiemu aktorowi państwowemu.
Kluczowe szczegóły techniczne
- Sam kod źródłowy Axios podobno pozostał bez zmian.
- Złośliwe działanie zostało wprowadzone techniką wstrzyknięcia zależności.
- Dotknięte środowiska obejmowały stacje deweloperskie i systemy CI/CD.
- Ładunki były dostosowane do systemu operacyjnego:
- Windows: RAT oparty na PowerShell z utrwaleniem przez klucz rejestru Run
- macOS: natywny plik binarny umieszczany w
/Library/Caches - Linux/other: dalsze ładunki specyficzne dla platformy
- Malware komunikował się ze znaną złośliwą infrastrukturą powiązaną z Sapphire Sleet.
Dlaczego to ważne dla zespołów IT i bezpieczeństwa
Ten atak pokazuje, jak zaufane pakiety open source mogą zostać uzbrojone bez widocznych zmian w aplikacji. Nawet jeśli aplikacje pozornie działają normalnie, naruszenie może nadal nastąpić na etapie instalacji, umożliwiając atakującym kradzież sekretów, ustanowienie trwałości i dalszy ruch w głąb środowiska przedsiębiorstwa.
Dla administratorów największe ryzyka to:
- Przejęte poświadczenia i tokeny deweloperów
- Ujawnione sekrety w systemach build
- Wykonanie malware na agentach CI/CD
- Trwałe przyczółki na zarządzanych urządzeniach Windows
Zalecane działania
Organizacje, które zainstalowały dotknięte wersje Axios, powinny działać natychmiast:
- Obniżyć wersję Axios do bezpiecznych wersji:
1.14.00.30.3
- Zmienić sekrety i poświadczenia, które mogły zostać ujawnione.
- Wyłączyć automatyczne aktualizacje pakietów Axios do czasu potwierdzenia, że środowiska są czyste.
- Sprawdzić systemy deweloperskie i build pod kątem oznak naruszenia, zwłaszcza mechanizmów trwałości i podejrzanego wykonywania skryptów.
- Skorzystać z detekcji Microsoft Defender i wskazówek do huntingu z komunikatu Microsoft, aby zidentyfikować złośliwe komponenty i dotknięte hosty.
Najważniejszy wniosek
Naruszenie łańcucha dostaw Axios npm przypomina, że zarządzanie pakietami i potoki CI/CD są dziś głównymi powierzchniami ataku. Zespoły bezpieczeństwa powinny traktować instalacje dotkniętych wersji jako potencjalne naruszenia endpointów i poświadczeń, a nie wyłącznie problem z pakietem.
Potrzebujesz pomocy z Security?
Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.
Porozmawiaj z ekspertemBądź na bieżąco z technologiami Microsoft