Security

Компрометация Axios npm: руководство по защите

2 мин. чтения

Кратко

Microsoft предупредила, что вредоносные версии Axios npm 1.14.1 и 0.30.4 использовались в атаке на цепочку поставок, связанной с Sapphire Sleet. Организациям, использующим затронутые пакеты, следует немедленно сменить секреты, откатиться на безопасные версии и проверить рабочие станции разработчиков и системы CI/CD на признаки компрометации.

Нужна помощь с Security?Поговорить с экспертом

Введение

Microsoft сообщила о серьезной компрометации цепочки поставок npm, затронувшей Axios — одну из самых широко используемых JavaScript-библиотек HTTP. Поскольку Axios часто устанавливается на рабочие станции разработчиков и в конвейеры CI/CD, этот инцидент имеет широкие последствия для безопасности цепочки поставок ПО в средах Windows, macOS и Linux.

Что произошло

31 марта 2026 года были опубликованы две вредоносные версии пакета Axios:

По данным Microsoft Threat Intelligence, в этих релизах была добавлена вредоносная зависимость [email protected], которая выполняла post-install script во время npm install или обновления пакетов. Этот install hook связывался с инфраструктурой, контролируемой злоумышленниками, и загружал remote access trojan (RAT) второй стадии.

Microsoft связывает эту кампанию с Sapphire Sleet, северокорейским государственным актором.

Ключевые технические детали

  • Исходный код самого Axios, как сообщается, не изменялся.
  • Вредоносное поведение было внедрено с помощью техники вставки зависимости.
  • Затронутые среды включали конечные точки разработчиков и системы CI/CD.
  • Полезные нагрузки подбирались в зависимости от операционной системы:
    • Windows: RAT на базе PowerShell с закреплением через registry Run key
    • macOS: нативный бинарный файл, помещаемый в /Library/Caches
    • Linux/другие: платформенно-специфичные последующие полезные нагрузки
  • Вредоносное ПО взаимодействовало с известной вредоносной инфраструктурой, связанной с Sapphire Sleet.

Почему это важно для IT- и security-команд

Эта атака показывает, как доверенные open-source пакеты могут быть превращены в оружие без очевидных изменений в приложении. Даже если приложения внешне работают нормально, компрометация все равно может произойти во время установки, позволяя злоумышленникам красть секреты, закрепляться и продвигаться глубже в корпоративную среду.

Для администраторов основные риски таковы:

  • Компрометация учетных данных и токенов разработчиков
  • Раскрытие секретов в системах сборки
  • Выполнение вредоносного ПО на агентах CI/CD
  • Устойчивое закрепление на управляемых устройствах Windows

Рекомендуемые действия

Организациям, установившим затронутые версии Axios, следует действовать немедленно:

  1. Откатить Axios на безопасные версии:
    • 1.14.0
    • 0.30.3
  2. Сменить секреты и учетные данные, которые могли быть раскрыты.
  3. Отключить автообновления для пакетов Axios, пока не будет подтверждено, что среды чисты.
  4. Проверить системы разработчиков и сборки на признаки компрометации, особенно механизмы закрепления и подозрительное выполнение скриптов.
  5. Использовать обнаружения Microsoft Defender и рекомендации по hunting из advisory Microsoft для выявления вредоносных компонентов и затронутых узлов.

Главное

Компрометация Axios npm напоминает, что управление пакетами и конвейеры CI/CD теперь являются основными поверхностями атаки. Команды безопасности должны рассматривать затронутые установки как потенциальную компрометацию конечных точек и учетных данных, а не просто как проблему пакета.

Нужна помощь с Security?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от Microsoft Threat Intelligence and Microsoft Defender Security Research Team
Axiosnpmsupply chain attackSapphire SleetMicrosoft Defender

Похожие статьи

Security

Готовность безопасности критической инфраструктуры 2026

Microsoft заявляет, что модель угроз для критической инфраструктуры сместилась от случайных атак к устойчивому доступу на основе идентификации, подготовленному для будущих сбоев. Для IT- и security-руководителей посыл ясен: уже сейчас нужно сокращать поверхность атаки, усиливать защиту идентификации и подтверждать операционную готовность на фоне ужесточения регулирования и активности национальных государств.

Security

Основы безопасности AI: практические советы CISO

Microsoft рекомендует CISO защищать AI-системы с помощью тех же базовых мер контроля, которые уже применяются к ПО, учетным записям и доступу к данным. В рекомендациях выделены принцип наименьших привилегий, защита от prompt injection и использование самого AI для выявления проблем с разрешениями до того, как ими воспользуются злоумышленники или пользователи.

Security

Вредоносная кампания WhatsApp с VBS и MSI-бэкдорами

Эксперты Microsoft Defender выявили кампанию конца февраля 2026 года, в которой через сообщения WhatsApp доставляются вредоносные VBS-файлы, а затем для закрепления и удалённого доступа устанавливаются неподписанные MSI-пакеты. Атака сочетает социальную инженерию, переименованные утилиты Windows и доверенные облачные сервисы для обхода обнаружения, поэтому контроль конечных точек и осведомлённость пользователей становятся критически важными.

Security

Microsoft Copilot Studio: риски Agentic AI OWASP

Microsoft объясняет, как Copilot Studio и предстоящий общий выпуск Agent 365 помогут организациям снизить риски из OWASP Top 10 for Agentic Applications. Это важно, потому что системы agentic AI используют реальные учетные записи, данные и инструменты, создавая риски безопасности, выходящие далеко за рамки неточных ответов.

Security

Microsoft Defender HVA Protection Blocks Critical Attacks

Microsoftала, как Microsoft Defenderует-awareness для обнаружения и остановки атак на контроллерыенов, веб-серверы и инфраструктуру идентификации. Сочетая контекст Security Management, дифференцированные детектирования и автомат disruption, Defender повышать уровень защиты активов Tier-0 и снижать масштаб последствий сложныхновений.

Security

{{Безопасность идентификации в Microsoft Entra: RSAC 2026}}

{{Microsoft позиционирует безопасность идентификации как единую плоскость управления, объединяющую инфраструктуру идентификации, решения по доступу и защиту от угроз в реальном времени. На RSAC 2026 компания представила новые возможности Microsoft Entra и Defender, включая панель мониторинга безопасности идентификации, унифицированную оценку риска идентичностей и адаптивное устранение рисков, чтобы помочь организациям сократить фрагментацию и быстрее реагировать на атаки, основанные на идентичностях.}}