Security

Axios npm kompromitacija lanca snabdevanja

2 min čitanja

Sažetak

Microsoft je upozorio da su zlonamerne Axios npm verzije 1.14.1 i 0.30.4 korišćene u napadu na lanac snabdevanja koji se pripisuje grupi Sapphire Sleet. Organizacije koje koriste pogođene pakete treba odmah da rotiraju tajne podatke, vrate se na bezbedne verzije i provere developerske endpoint-e i CI/CD sisteme zbog moguće kompromitacije.

Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod

Microsoft je objavio ozbiljnu npm kompromitaciju lanca snabdevanja koja pogađa Axios, jednu od najšire korišćenih JavaScript HTTP biblioteka. Pošto se Axios često instalira na developerskim radnim stanicama i u CI/CD pipeline-ovima, ovaj incident ima široke posledice po bezbednost softverskog lanca snabdevanja u Windows, macOS i Linux okruženjima.

Šta se dogodilo

Dve zlonamerne verzije Axios paketa objavljene su 31. marta 2026:

Prema navodima Microsoft Threat Intelligence, ova izdanja su dodala zlonamernu zavisnost, [email protected], koja je izvršavala post-install skriptu tokom npm install procesa ili ažuriranja paketa. Install hook je kontaktirao infrastrukturu pod kontrolom aktera i preuzeo drugu fazu remote access trojan-a (RAT).

Microsoft ovu kampanju pripisuje grupi Sapphire Sleet, severnokorejskom državnom akteru.

Ključni tehnički detalji

  • Izvorni Axios kod navodno nije menjan.
  • Zlonamerno ponašanje uvedeno je tehnikom ubacivanja zavisnosti.
  • Pogođena okruženja uključivala su developerske endpoint-e i CI/CD sisteme.
  • Payload-ovi su bili prilagođeni operativnom sistemu:
    • Windows: RAT zasnovan na PowerShell-u sa perzistencijom preko registry Run ključa
    • macOS: Native binary ubačen u /Library/Caches
    • Linux/other: Payload-ovi specifični za platformu u narednoj fazi
  • Malware je komunicirao sa poznatom zlonamernom infrastrukturom povezanom sa grupom Sapphire Sleet.

Zašto je ovo važno za IT i bezbednosne timove

Ovaj napad pokazuje kako pouzdani open-source paketi mogu biti pretvoreni u oružje bez očiglednih izmena u aplikaciji. Čak i ako aplikacije deluju kao da normalno funkcionišu, kompromitacija i dalje može nastati u trenutku instalacije, omogućavajući napadačima da ukradu tajne podatke, uspostave perzistenciju i prodru dublje u enterprise okruženja.

Za administratore, najveći rizici su:

  • Kompromitovani developerski kredencijali i tokeni
  • Izloženi tajni podaci u build sistemima
  • Izvršavanje malware-a na CI/CD agentima
  • Trajna uporišta na upravljanim Windows uređajima

Preporučene radnje

Organizacije koje su instalirale pogođene Axios verzije treba da deluju odmah:

  1. Vratite Axios na bezbedne verzije:
    • 1.14.0
    • 0.30.3
  2. Rotirajte tajne podatke i kredencijale koji su možda bili izloženi.
  3. Onemogućite automatska ažuriranja za Axios pakete dok se ne potvrdi da su okruženja čista.
  4. Proverite developerske i build sisteme u potrazi za znakovima kompromitacije, posebno mehanizmima perzistencije i sumnjivim izvršavanjem skripti.
  5. Koristite Microsoft Defender detekcije i hunting smernice iz Microsoft savetodavnog izveštaja da identifikujete zlonamerne komponente i pogođene hostove.

Suština

Axios npm kompromitacija je podsetnik da su upravljanje paketima i CI/CD pipeline-ovi sada primarne površine napada. Bezbednosni timovi treba da tretiraju pogođene instalacije kao potencijalnu kompromitaciju endpoint-a i kredencijala, a ne samo kao problem sa paketom.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Threat Intelligence and Microsoft Defender Security Research Team
Axiosnpmsupply chain attackSapphire SleetMicrosoft Defender

Povezani članci

Security

Spremnost bezbednosti kritične infrastrukture 2026

Microsoft navodi da se model pretnji za kritičnu infrastrukturu pomerio sa oportunističkih napada ka upornom pristupu zasnovanom na identitetu, osmišljenom za buduće ometanje. Za IT i bezbednosne lidere poruka je jasna: smanjite izloženost, ojačajte identitet i odmah proverite operativnu spremnost dok se propisi i aktivnosti nacionalnih država pojačavaju.

Security

Osnove AI bezbednosti: praktične smernice za CISO

Microsoft savetuje CISO-ima da zaštite AI sisteme primenom istih osnovnih kontrola koje već koriste za softver, identitete i pristup podacima. Smernice ističu princip najmanjih privilegija, odbranu od prompt injection napada i korišćenje samog AI-ja za otkrivanje problema sa dozvolama pre nego što to učine napadači ili korisnici.

Security

WhatsApp malware kampanja sa VBS i MSI backdoor-ima

Microsoft Defender Experts su otkrili kampanju iz kasnog februara 2026. koja koristi WhatsApp poruke za isporuku zlonamernih VBS fajlova, a zatim instalira nepotpisane MSI pakete radi postojanosti i udaljenog pristupa. Napad kombinuje social engineering, preimenovane Windows alate i pouzdane cloud servise kako bi izbegao detekciju, zbog čega su kontrole na endpoint uređajima i svest korisnika od ključnog značaja.

Security

Copilot Studio i OWASP rizici za Agentic AI

Microsoft objašnjava kako Copilot Studio i predstojeća opšta dostupnost Agent 365 mogu pomoći organizacijama da adresiraju OWASP Top 10 za Agentic Applications. Ove smernice su važne jer agentic AI sistemi mogu koristiti stvarne identitete, podatke i alate, stvarajući bezbednosne rizike koji daleko prevazilaze netačne izlaze.

Security

{{Microsoft Defender HVA zaštita blokira napade}}

{{Microsoft je objavio kako Microsoft Defender koristi svest o high-value asset resursima da otkrije i zaustavi napade usmerene na domain controllers, web servere i identity infrastrukturu. Kombinovanjem konteksta iz Security Exposure Management, diferenciranih detekcija i automatizovanog ometanja napada, Defender može da podigne nivo zaštite za Tier-0 resurse i smanji domet sofisticiranih upada.}}

Security

{{Bezbednost identiteta u Microsoft Entra: RSAC 2026}}

Microsoft pozicionira bezbednost identiteta kao objedinjenu kontrolnu ravan koja u realnom vremenu kombinuje infrastrukturu identiteta, odluke o pristupu i zaštitu od pretnji. Na RSAC 2026, kompanija je najavila nove mogućnosti za Microsoft Entra i Defender, uključujući kontrolnu tablu za bezbednost identiteta, objedinjeno ocenjivanje rizika identiteta i adaptivnu sanaciju rizika kako bi organizacijama pomogla da smanje fragmentaciju i brže odgovore na napade zasnovane na identitetu.