Обновили axios? Поздравляем, теперь вы заражены. Хакеры превратили библиотеку в троян и раздали его миллионам разработчиков
NewsMakerФейковый Slack, дипфейк-звонок, троян под видом обновления Teams...
Популярный JavaScript-пакет axios , который используют миллионы проектов, на несколько часов превратился в канал доставки вредоносного кода. Злоумышленники целенаправленно взломали аккаунт ведущего мейнтейнера и через него опубликовали заражённые версии библиотеки.
Инцидент развернулся 31 марта. За пару часов в npm появились две версии axios с вредоносной нагрузкой - 1.14.1 и 0.30.4. Внутрь внедрили зависимость plain-crypto-js@4.2.1 , которая устанавливала на компьютеры разработчиков троян удалённого доступа . После установки хакеры получали полный контроль над системой, даже если использовалась двухфакторная аутентификация.
Компрометация началась задолго до публикации пакетов. За 2 недели до атаки мейнтейнер Джейсон Сейман получил приглашение якобы от основателя известной компании. Злоумышленники полностью воспроизвели внешний вид бренда и выстроили правдоподобную коммуникацию. Сначала они добавили разработчика в Slack-рабочое пространство с каналами, постами и профилями сотрудников, которые выглядели как настоящие.
Дальше последовал звонок в Microsoft Teams. При подключении система показала сообщение о необходимости обновления. Разработчик установил предложенный компонент, считая, что речь идёт о стандартной части клиента. Вместо обновления загрузился RAT - вредоносная программа, которая открыла злоумышленникам доступ к машине.
Популярный JavaScript-пакет axios , который используют миллионы проектов, на несколько часов превратился в канал доставки вредоносного кода. Злоумышленники целенаправленно взломали аккаунт ведущего мейнтейнера и через него опубликовали заражённые версии библиотеки.
Инцидент развернулся 31 марта. За пару часов в npm появились две версии axios с вредоносной нагрузкой - 1.14.1 и 0.30.4. Внутрь внедрили зависимость plain-crypto-js@4.2.1 , которая устанавливала на компьютеры разработчиков троян удалённого доступа . После установки хакеры получали полный контроль над системой, даже если использовалась двухфакторная аутентификация.
Компрометация началась задолго до публикации пакетов. За 2 недели до атаки мейнтейнер Джейсон Сейман получил приглашение якобы от основателя известной компании. Злоумышленники полностью воспроизвели внешний вид бренда и выстроили правдоподобную коммуникацию. Сначала они добавили разработчика в Slack-рабочое пространство с каналами, постами и профилями сотрудников, которые выглядели как настоящие.
Дальше последовал звонок в Microsoft Teams. При подключении система показала сообщение о необходимости обновления. Разработчик установил предложенный компонент, считая, что речь идёт о стандартной части клиента. Вместо обновления загрузился RAT - вредоносная программа, которая открыла злоумышленникам доступ к машине.