Атака на библиотеку Axios выявила уязвимости open-source экосистемы
Злоумышленники заранее подготовили атаку на библиотеку Axios, что могло привести к масштабному заражению систем по всему миру.
Атака на одну из самых популярных библиотек с открытым исходным кодом — Axios — оказалась более продуманной, чем предполагалось изначально. По оценке аналитиков, за инцидентом могли стоять злоумышленники, связанные с Северной Кореей, которые начали подготовку задолго до появления вредоносного кода.
Axios широко используется разработчиками по всему миру для обработки интернет-запросов и загружается десятки миллионов раз в неделю. Это делает любую уязвимость в библиотеке потенциально опасной для большого числа проектов.
Исследование показало, что атака развивалась поэтапно. Сначала злоумышленники получили доступ к аккаунту сопровождающего проекта. Затем они выждали подходящий момент и разместили вредоносные версии пакета. После этого заражённые обновления стали распространяться среди пользователей через официальное хранилище npm. Такой сценарий указывает на заранее спланированную операцию.
Получив контроль над аккаунтом разработчика, атакующие опубликовали несколько версий библиотеки с вредоносным кодом. Эти пакеты могли устанавливать программы для кражи данных. Под угрозой оказались пользователи, которые успели установить обновления. Несмотря на то что заражённые версии были доступны всего несколько часов, этого времени оказалось достаточно для потенциального распространения угрозы.
Эксперты «Центральной Службы Новостей» отмечают, что последствия могут быть значительными из-за особенностей open-source экосистемы. Axios используется не только напрямую, но и как зависимость в других проектах. Это означает, что вредоносный код мог распространяться через сторонние библиотеки, корпоративные системы и облачные сервисы.
Аналитики связывают атаку с группировкой, ранее замеченной в операциях против финансовых и криптовалютных сервисов. Предполагается, что целью могли быть кража учётных данных, доступ к корпоративной инфраструктуре и получение финансовой выгоды.