- Οι κακόβουλες εκδόσεις του Axios στο npm πρόσθεσαν μια κρυφή εξάρτηση που ανέπτυξε ένα trojan απομακρυσμένης πρόσβασης σε διάφορες πλατφόρμες κατά την εγκατάσταση.
- Οι εισβολείς καταχράστηκαν έναν παραβιασμένο λογαριασμό διαχειριστή και παλαιότερα tokens npm για να δημοσιεύσουν τα axios@1.14.1, axios@0.30.4 και plain-crypto-js@4.2.1.
- Το RAT θα μπορούσε να αποσπάσει μυστικά, να αποκτήσει πρόσβαση σε αποθετήρια και περιβάλλοντα cloud, με IOCs όπως το sfrclak.com, το 142.11.206.73 και συγκεκριμένα αντικείμενα του συστήματος αρχείων.
- Οι ομάδες ασφαλείας παροτρύνουν τους προγραμματιστές να ελέγχουν τα κλειδωμένα αρχεία, να εναλλάσσουν τα διαπιστευτήρια, να αυστηροποιούν τις ροές εργασίας της εφοδιαστικής αλυσίδας και να αντιμετωπίζουν τα επηρεαζόμενα μηχανήματα ως πλήρως παραβιασμένα.
Για μερικές ώρες έντασης, μια από τις πιο ευρέως χρησιμοποιούμενες βιβλιοθήκες JavaScript στον πλανήτη, Αξιού, έγινε ένα απροσδόκητο όχημα διανομής κακόβουλου λογισμικού. Ένα στοχευμένο Επίθεση στην εφοδιαστική αλυσίδα στο οικοσύστημα npm μετέτρεψε μια συνηθισμένη ενημέρωση εξαρτήσεων σε μια πιθανή κερκόπορτα για επιτιθέμενους σε εκατοντάδες χιλιάδες μηχανήματα προγραμματιστών και συστήματα κατασκευής.
Ερευνητές από διάφορες εταιρείες ασφαλείας και την Ομάδα Πληροφοριών Απειλών της Google συνέκριναν πώς ένας κακόβουλος δράστης παρέσυρε ένα trojan απομακρυσμένης πρόσβασης (RAT) σε συγκεκριμένες εκδόσεις του Axios στο npm, παρόμοια με το npm - σκουλήκι εφοδιαστικής αλυσίδας.
Τι είναι το Axios και γιατί ο συμβιβασμός έχει τόσο μεγάλη σημασία
Στον πυρήνα του, το Axios είναι ένα Πρόγραμμα-πελάτης HTTP που βασίζεται σε υποσχέσεις για Node.js και προγράμματα περιήγησηςΒρίσκεται στο παρασκήνιο αμέτρητων έργων, χειριζόμενο καθημερινές εργασίες όπως «ανάκτηση μηνυμάτων από τον διακομιστή» ή «υποβολή αυτής της φόρμας στο API» χωρίς οι προγραμματιστές να χρειάζεται να γράφουν χειροκίνητα κώδικα δικτύωσης χαμηλού επιπέδου.
Επειδή εκτελείται τόσο στο πρόγραμμα περιήγησης όσο και σε διακομιστές Node.js, το Axios έχει γίνει ένα θεμελιώδης εξάρτηση σε σύγχρονες στοίβες JavaScriptΜπορεί να μην το έχετε εγκαταστήσει ποτέ ρητά, ωστόσο εξακολουθείτε να βασίζεστε σε αυτό έμμεσα όταν:
- Χρησιμοποιήστε εφαρμογές ιστού που έχουν κατασκευαστεί με frameworks όπως React, Vue ή Angular, οι οποίες ενσωματώνουν τις κλήσεις API τους με Axios.
- Εκτελέστε εφαρμογές για υπολογιστές ή κινητά που βασίζονται σε τεχνολογίες όπως Electron, React Native και παρόμοια περιβάλλοντα εκτέλεσης (runtimes) που βασίζονται στο web.
- Αλληλεπιδράστε με μικρότερα εργαλεία SaaS, πίνακες ελέγχου διαχειριστή ή αυτοφιλοξενούμενες υπηρεσίες των οποίων οι προγραμματιστές επέλεξαν το Axios για αιτήματα HTTP.
Υπό αυτή την έννοια, το Axios μοιάζει λίγο με το υδραυλικά στο σπίτι σας: σπάνια το σκέφτεστε, αλλά μεταφέρει το «νερό» των δεδομένων μεταξύ της εφαρμογής σας και του έξω κόσμου. Το παρατηρείτε πραγματικά μόνο όταν υπάρχει διαρροή — ακριβώς αυτό που δημιούργησε αυτή η επίθεση, αλλά σε κλίμακα οικοσυστήματος λογισμικού.
Πώς εξελίχθηκε η επίθεση npm στο Axios
Το περιστατικό επικεντρώνεται σε δύο ανακοινώσεις του npm: axios@1.14.1 axios@0.30.4Χρησιμοποιώντας παραβιασμένα διαπιστευτήρια ενός από τους κύριους συντηρητές του έργου, οι εισβολείς κατάφεραν να δημοσιεύσουν κακόβουλες εκδόσεις απευθείας στο npm ενώ άφησε ανέγγιχτο τον δημόσιο πηγαίο κώδικα του GitHub, ένα μοτίβο που περιγράφεται επίσης στο Ανάλυση Shai-Hulud.
Αντί να αλλάξει ορατά τον κώδικα του Axios, ο εισβολέας πρόσθεσε μια νέα, φαινομενικά άσχετη εξάρτηση: απλό-κρυπτο-js@4.2.1Αυτό το πακέτο δημιουργήθηκε ειδικά για τη λειτουργία και δεν εισήχθη πουθενά στα αρχεία πηγαίου κώδικα του Axios, μια κόκκινη σημαία για όποιον εξετάζει λεπτομερώς τη διαφορά—αλλά είναι εύκολο να την παραβλέψει κανείς σε αυτοματοποιημένες ροές εργασίας που απλώς εμπιστεύονται το μητρώο.
Μαζί, οι δύο μολυσμένες εκδόσεις του axios είχαν ένα τεράστιο πιθανό αποτύπωμα, φτάνοντας έως και περίπου 100 εκατομμύρια εβδομαδιαίες λήψεις στο npmΤο Axios εκτιμάται ότι υπάρχει σε σχεδόν το 80% των περιβαλλόντων cloud και των αγωγών CI/CD, επομένως ακόμη και ένα σύντομο χρονικό διάστημα έκθεσης αντιπροσώπευε σοβαρό συστημικό κίνδυνο.
Το κρίσιμο είναι ότι οι επηρεαζόμενες εκδόσεις δεν εμφανίστηκαν ποτέ στο επίσημες ετικέτες GitHub για το έργο Axios. Αυτή η λεπτομέρεια υποδηλώνει έντονα ότι παρακάμφθηκαν οι κανονικές διαδικασίες έκδοσης: ο εισβολέας αξιοποίησε ένα κλεμμένο διακριτικό npm για να προωθήσει πακέτα απευθείας στο μητρώο, εκτός ζώνης από το δημόσιο ιστορικό πηγής.
Οι μηχανισμοί της κακόβουλης εξάρτησης και του RAT
Η ουσία του συμβιβασμού έγκειται σε αυτό που συνέβη κατά την εγκατάσταση. Οποιαδήποτε ροή εργασίας που εκτελέστηκε npm install και τράβηξε μέσα axios@1.14.1, axios@0.30.4 or απλό-κρυπτο-js@4.2.1 με ενεργοποιημένα τα σενάρια ενεργοποίησε μια κρυφή ρουτίνα μετά την εγκατάσταση.
Μέσα στην κακόβουλη εξάρτηση, ένα σενάριο μετά την εγκατάσταση (node setup.js) εκτελείται αυτόματα. Αυτό το σενάριο κατεβάζει ένα κρυφό dropper, το οποίο στη συνέχεια ανακτά ένα φορτίο RAT ειδικά για την πλατφόρμα, προσαρμοσμένο στις ανάγκες του. macOS, Windows ή LinuxΤο RAT παραχώρησε στον εισβολέα διαδραστική απομακρυσμένη πρόσβαση στο παραβιασμένο μηχάνημα.
Μόλις ενεργοποιηθεί, αυτό το trojan απομακρυσμένης πρόσβασης θα μπορούσε να απαριθμήσει το σύστημα, να συλλέξει μυστικά και να εκτελέσει αυθαίρετες εντολές. Σκεφτείτε. κλειδιά API cloud, διακριτικά ανάπτυξης CI, διακριτικά ελέγχου ταυτότητας npm, κλειδιά SSH, διακριτικά πρόσβασης αποθετηρίου και άλλες ευαίσθητες μεταβλητές περιβάλλοντος που συνήθως εγχέονται σε build agents ή φορητούς υπολογιστές προγραμματιστών.
Από εκεί και πέρα, οι εισβολείς θα μπορούσαν να στραφούν: ελέγχοντας τον πηγαίο κώδικα, παραβιάζοντας μελλοντικές εκδόσεις, προσθέτοντας περισσότερα backdoors ή μετακινούμενοι πλευρικά στην υποδομή παραγωγής. Για τους προγραμματιστές που εργάζονται σε έργα που σχετίζονται με κρυπτονομίσματα - πορτοφόλια, ανταλλακτήρια, frontends DeFi - αυτό το είδος πρόσβασης θα μπορούσε να μεταφραστεί άμεσα σε... κλοπή κρυπτονομισμάτων ή ευρύτερη οικονομική απάτη.
Τακτικές μυστικότητας: γιατί ο συμβιβασμός ήταν δύσκολο να εντοπιστεί
Οι δημιουργοί του κακόβουλου λογισμικού κατέβαλαν κάθε δυνατή προσπάθεια για να διατηρήσουν το αποτύπωμά τους όσο το δυνατόν μικρότερο και εφήμερο. Σύμφωνα με τους ερευνητές, το dropper καθάρισε τα ίχνη του αμέσως μετά την εκτέλεση.
Αυτό σημαίνει ότι αν εξετάσατε node_modules/plain-crypto-js/package.json μετά μόλυνση, θα δείτε ένα εντελώς ακίνδυνο μανιφέστο: κανένα σενάριο μετά την εγκατάσταση, κανένα setup.js, χωρίς εμφανείς ενδείξεις άνομης ενέργειας. Τυπικά εργαλεία όπως npm audit ή ένας πρόχειρος χειροκίνητος έλεγχος καταλόγου δεν θα αποκάλυπτε τι είχε ήδη συμβεί.
Στην πράξη, αυτή η συμπεριφορά άφησε τους ερευνητές να βασίζονται σε εξωτερικούς δείκτες συμβιβασμού (ΔΟΕ), τηλεμετρία δικτύου και τεχνουργήματα κεντρικού υπολογιστή αντί για απλές στατικές σαρώσεις του περιεχομένου του πακέτου npm. Μέχρι τη στιγμή που η επίθεση δημοσιοποιήθηκε, οι κακόβουλες εκδόσεις είχαν ήδη αφαιρεθεί από το npm, περιπλέκοντας περαιτέρω την ανακατασκευή της ακριβούς ροής εκτέλεσης.
Βασικοί δείκτες παραβίασης για το περιστατικό του Αξιού
Παρόλο που το κακόβουλο λογισμικό προσπάθησε να καλύψει τα ίχνη του, οι ομάδες ασφαλείας έχουν κοινοποιήσει συγκεκριμένα IOC που μπορούν να βοηθήσουν στον προσδιορισμό του εάν ένα περιβάλλον επηρεάστηκε. Μεταξύ των πιο σημαντικών είναι τα εξής:
Στις πλευρά δικτύου, αναζητήστε επικοινωνία με:
- Τομέας: sfrclakcom
- Διεύθυνση IP: 142.11.206.73
Και οι δύο δείκτες έχουν αποκλειστεί από τους κύριους προμηθευτές ασφάλειας, αλλά παραμένουν χρήσιμοι δείκτες σε ιστορικά αρχεία καταγραφής και αναζητήσεις SIEM.
Στις σύστημα αρχείων, οι ερευνητές τόνισαν αντικείμενα που σχετίζονται με το RAT:
- MacOS:
/Library/Caches/com.apple.act.mond - Linux:
/tmp/ld.py - Windows: αρχεία στην ενότητα
%PROGRAMDATA%\wtκαι προσωρινά σενάρια όπως%TEMP%\6202033.vbsor.ps1που μπορεί να υπάρχουν μόνο για λίγο κατά την εκτέλεση
Όσον αφορά τα πακέτα npm, το παραβιασμένες εκδόσεις και τα γνωστά αθροίσματά τους είναι:
- axios@1.14.1, SHA-256:
2553649f2322049666871cea80a5d0d6adc700ca - axios@0.30.4, SHA-256:
d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71 - απλό-κρυπτο-js@4.2.1, SHA-256:
07d889e2dadce6f3910dcbc253317d28ca61c766
Εταιρείες ασφαλείας όπως η Huntress παρατήρησαν τουλάχιστον 135 συστήματα επικοινωνούν με τον διακομιστή εντολών και ελέγχου του εισβολέα κατά τη διάρκεια του σχετικά σύντομου παραθύρου έκθεσης, και ερευνητές από την Google προειδοποίησαν ότι «εκατοντάδες χιλιάδες» μυστικά μπορεί τελικά να έχουν αποκρυφθεί ως αποτέλεσμα.
Ποιος ήταν πίσω από την επίθεση; Η αναφορά και η σύνδεση με τη Βόρεια Κορέα
Η Ομάδα Πληροφόρησης για τις Απειλές της Google έχει συνδέσει δημόσια την παραβίαση του Axios με ένα ύποπτος για απειλή από τη Βόρεια Κορέα παρακολουθείται ως UNC1069. Ο John Hultquist, επικεφαλής αναλυτής στη μονάδα απειλών της Google, σημείωσε ότι οι βορειοκορεάτες φορείς εκμετάλλευσης έχουν μακρύ ιστορικό επιθέσεις στην εφοδιαστική αλυσίδα με στόχο την κλοπή κρυπτονομισμάτων και άλλα περιουσιακά στοιχεία.
Σύμφωνα με την Google και άλλους προμηθευτές ασφάλειας, το περιστατικό στο Axios φαίνεται να αποτελεί μέρος μιας ευρύτερης εκστρατείας από βορειοκορεατικές ομάδες, συμπεριλαμβανομένων ομάδων όπως η Lazarus, που επικεντρώνονται σε... εκβιασμός, οικονομική κλοπή και κλοπή δεδομένων στοχεύοντας σε τομείς όπως τα κρυπτονομίσματα, η χρηματοοικονομική τεχνολογία και οι υποδομές cloud.
Ενώ ο πλήρης αντίκτυπος είναι ακόμη ασαφής, ο συνδυασμός ενός εξαιρετικά δημοφιλούς πακέτου, της πρόσβασης σε περιβάλλοντα προγραμματιστών και της φύσης των κλεμμένων δεδομένων οδηγεί τους αναλυτές να αναμένουν επακόλουθες επιθέσεις με τη μορφή περαιτέρω παραβιάσεων της εφοδιαστικής αλυσίδας, ransomware και άμεσης κλοπής κρυπτονομισμάτων.
Πώς έγινε κατάχρηση του λογαριασμού διαχειριστή και της ροής εργασίας npm
Μία από τις πιο ανησυχητικές πτυχές για την κοινότητα ανοιχτού κώδικα είναι ο τρόπος με τον οποίο οι εισβολείς κατάφεραν να δημοσιεύσουν κακόβουλες εκδόσεις του Axios χωρίς να αγγίξουν τη δημόσια βάση κώδικα. Το κλειδί ήταν ένα παραβιασμένος λογαριασμός διαχειριστή στο npm, που πιστεύεται ότι ανήκει σε έναν κύριο συντηρητή του Axios, γνωστό ως jasonsaayman.
Οι εισβολείς φέρονται να άλλαξαν τη διεύθυνση email που σχετίζεται με αυτόν τον λογαριασμό npm σε μια διεύθυνση που βρίσκεται υπό τον έλεγχό τους. Με αυτό το βήμα, θα μπορούσαν κλείδωμα του νόμιμου συντηρητή και να προωθήσουν νέες εκδόσεις πακέτων σαν να ήταν γνήσιες ενημερώσεις, ενώ το επίσημο αποθετήριο GitHub παρέμεινε καθαρό.
Η επιχείρηση έριξε επίσης φως σε ένα διαρθρωτικό πρόβλημα στο npm: την υποστήριξη για παλαιότερα διακριτικά ελέγχου ταυτότητας, και την ανάγκη για εργαλεία διαχείρισης της εφοδιαστικής αλυσίδας και αυστηρότερες πολιτικές για τα token.
Σε αυτήν την περίπτωση, οι ερευνητές ασφαλείας επεσήμαναν ότι το npm εξακολουθεί να προεπιλογή στο παλαιό διακριτικό για δημοσίευση και κανένας έλεγχος δεν ανακαλούσε αυτόματα αυτό το διακριτικό μόλις διαμορφώθηκαν πιο σύγχρονες μέθοδοι δημοσίευσης. Αυτή η συνύπαρξη δημιούργησε μια ευάλωτη πλευρική πόρτα την οποία θα μπορούσε να εκμεταλλευτεί το UNC1069.
Παράθυρο έκθεσης και έγκαιρη ανίχνευση
Η παραβίαση του Axios δεν ήταν μια μακρά και αργή διαδικασία. Οι έρευνες υποδηλώνουν ότι οι κακόβουλες εκδόσεις ήταν... διαθέσιμο στο npm για περίπου τρεις ώρες μεταξύ αργά το βράδυ της Κυριακής και τις πρώτες πρωινές ώρες της Δευτέρας ή της Τρίτης, ανάλογα με τη ζώνη ώρας.
Η StepSecurity και άλλες εταιρείες σημείωσαν ότι ο εισβολέας είχε μολύνει το οικοσύστημα με ένα καθαρή έκδοση της κακόβουλης εξάρτησης περίπου 18 ώρες πριν συνδέοντας την οπλισμένη παραλλαγή με το Axios. Αυτή η κίνηση φαίνεται να έχει σχεδιαστεί για να δημιουργήσει ένα καλοήθη ιστορικό για το πακέτο και να αποφύγει την ενεργοποίηση των αυτοματοποιημένων ανιχνευτών ανωμαλιών όταν εμφανιζόταν ξαφνικά η εξάρτηση.
Μόλις οι μολυσμένες εκδόσεις του Axios τέθηκαν σε λειτουργία, το trojan πραγματοποίησε εκτεταμένη αναγνώριση σε κάθε σύστημα όπου έτρεχε: σάρωση καταλόγων, καταγραφή εκτελούμενων διεργασιών, απαρίθμηση δίσκων και στη συνέχεια την αποστολή αυτών των πληροφοριών πίσω στον διακομιστή του εισβολέα. Όλα αυτά συνέβησαν στο παρασκήνιο κατά τη διάρκεια αυτού που, για τους προγραμματιστές, έμοιαζε με μια συνηθισμένη εγκατάσταση εξαρτήσεων.
Χάρη στη συντονισμένη αντίδραση από τον συντηρητή, το npm και πολλούς προμηθευτές ασφαλείας, οι κακόβουλες εκδόσεις αποσύρθηκαν μέσα σε λίγες ώρες. Ωστόσο, όπως τόνισαν αρκετοί ερευνητές και η ίδια η ομάδα της Google, Ένα σύντομο παράθυρο έκθεσης δεν είναι το ίδιο με το χαμηλό κίνδυνο όταν ο στόχος είναι μια βιβλιοθήκη με δεκάδες εκατομμύρια εβδομαδιαίες λήψεις.
Επιπτώσεις σε προγραμματιστές, κρυπτογραφικά έργα και τελικούς χρήστες
Από πρακτικής άποψης, τα πιο άμεσα θύματα του περιστατικού στον Αξιό είναι προγραμματιστές και περιβάλλοντα δημιουργίας που εγκατέστησε τις κακόβουλες εκδόσεις. Όποιος εκτέλεσε μια εγκατάσταση ή έκδοση που εισήγαγε τα axios@1.14.1, axios@0.30.4 ή plain-crypto-js@4.2.1 με ενεργοποιημένα τα σενάρια πρέπει να υποθέσει ότι το σύστημα θα μπορούσε να έχει παραβιαστεί πλήρως.
Για έργα στον χώρο των κρυπτονομισμάτων —πορτοφόλια, κεντρικά και αποκεντρωμένα ανταλλακτήρια, πίνακες ελέγχου DeFi, bots συναλλαγών και frontends Web3— τα διακυβεύματα είναι ιδιαίτερα υψηλά. Πολλά από αυτά τα συστήματα Βασιστείτε στο Axios για να επικοινωνήσετε με πύλες blockchain, API και υπηρεσίες backendκαι συχνά διαχειρίζονται ευαίσθητα μυστικά όπως ιδιωτικά κλειδιά, διαπιστευτήρια API και δεδομένα χρήστη.
Εάν ένας σταθμός εργασίας προγραμματιστή ή ένας παράγοντας CI σε ένα τέτοιο έργο είχε μολυνθεί, οι επιτιθέμενοι θα μπορούσαν να είχαν αποκτήσει όχι μόνο τα μυστικά που ήταν αποθηκευμένα τοπικά, αλλά και πρόσβαση σε αποθετήρια και αγωγούς ανάπτυξηςΜε αυτόν τον τρόπο, ενδέχεται να εισάγουν κακόβουλο κώδικα σε μελλοντικές εκδόσεις, να θέσουν σε κίνδυνο τους τελικούς χρήστες έμμεσα ή να ανακατευθύνουν κεφάλαια.
Αντίθετα, οι χρήστες που απλώς εκτελούν ολοκληρωμένες εφαρμογές στο πρόγραμμα περιήγησής τους βρίσκονται σε καλύτερη θέση: το RAT παραδόθηκε κατά τη διάρκεια βήματα εγκατάστασης και κατασκευής, όχι κατά τη διάρκεια εκτέλεσης στο πρόγραμμα περιήγησης. Επομένως, η επίσκεψη σε έναν ιστότοπο που χρησιμοποιεί το Axios για κλήσεις από την πλευρά του πελάτη δεν ενεργοποιεί από μόνη της την επίθεση. Ο κίνδυνος επικεντρώνεται σε όσους εγκατέστησαν τα επηρεαζόμενα πακέτα npm.
Άμεσα βήματα που πρέπει να λάβουν οι προγραμματιστές
Οι ομάδες ασφαλείας και οι συντηρητές ήταν σαφείς: εάν υπάρχει πιθανότητα τα συστήματά σας να έχουν ενσωματώσει τις παραβιασμένες εκδόσεις Axios ή plain-crypto-js, αντιμετωπίστε αυτούς τους κεντρικούς υπολογιστές ως... εντελώς αναξιόπιστο μέχρι να διερευνηθείΑυτό σημαίνει κάτι περισσότερο από την απλή αύξηση ενός αριθμού έκδοσης.
Οι συγκεκριμένες ενέργειες που προτείνονται από ερευνητές και προμηθευτές περιλαμβάνουν:
- Ελέγξτε τις εξαρτήσεις και τα αρχεία κλειδώματος: Αναζήτηση
axios@1.14.1,axios@0.30.4plain-crypto-js@4.2.1inpackage-lock.json,pnpm-lock.yaml,yarn.lockκαι αρχεία καταγραφής CI· βλ. πώς να τα διορθώσετε με ασφάλεια. - Αναβάθμιση σε επαληθευμένες ασφαλείς εκδόσεις: Μεταβείτε σε καθαρές εκδόσεις του Axios (για παράδειγμα, τις αμέσως επόμενες ετικέτες που έχουν διορθωθεί και συνιστώνται από τους συντηρητές) και βεβαιωθείτε ότι τα αρχεία κλειδώματος έχουν αναγεννηθεί.
- Εναλλαγή διαπιστευτηρίων με επιθετικό τρόπο: Υποθέστε ότι οποιοδήποτε μυστικό στοιχείο υπάρχει σε επηρεαζόμενους υπολογιστές ή αγωγούς—κλειδιά cloud API, διακριτικά npm, κλειδιά SSH, κλειδιά ανάπτυξης, μεταβλητές .env—μπορεί να έχει κλαπεί και εναλλάξτε τα.
- Ανακατασκευή παραβιασμένων συστημάτων: Όπου είναι δυνατόν, ανακατανείμετε τους παράγοντες δημιουργίας, τους εκτελεστές CI και τους σταθμούς εργασίας προγραμματιστών από αξιόπιστες εικόνες αντί να προσπαθείτε να τις καθαρίσετε στη θέση τους.
- Υποδομή Μπλοκ C2: Πρόσθεση
sfrclak.com142.11.206.73σε τείχη προστασίας, λίστες αποκλεισμού DNS και κανόνες EDR. - Αναζήτηση αντικειμένων: Ελέγξτε τις διαδρομές του συστήματος αρχείων και τα προσωρινά αρχεία που σχετίζονται με το RAT σε κεντρικούς υπολογιστές macOS, Windows και Linux.
Αρκετές εταιρείες ασφαλείας έχουν ενημερώσει τους οργανισμούς που εγκατέστησαν τις μολυσμένες εκδόσεις να υποθέτω συμβιβασμό από προεπιλογήΜε άλλα λόγια, προχωρήστε με την υπόθεση ότι οι εισβολείς είχαν πρόσβαση και εργαστείτε συστηματικά μέσω των βημάτων αντιμετώπισης περιστατικών αντί να ελπίζετε ότι το κακόβουλο λογισμικό δεν έκανε τίποτα.
Ευρύτερα μαθήματα για την ασφάλεια της εφοδιαστικής αλυσίδας λογισμικού
Πέρα από την άμεση διαλογή, το περιστατικό του Axios έχει αναζωπυρώσει τις συζητήσεις σχετικά με το πώς το ευρύτερο οικοσύστημα χειρίζεται την εμπιστοσύνη, την ταυτότητα και τη διανομή στον ανοιχτό κώδικα. Καταδεικνύει πώς ένα μοναδικός λογαριασμός συντηρητή βιβλιοθήκης μπορεί να γίνει κρίκος για την ασφάλεια αμέτρητων οργανισμών.
Από τις μεταγενέστερες έρευνες και τις αναλύσεις προμηθευτών έχουν προκύψει διάφορα θέματα:
- Τα παλαιότερα tokens αποτελούν υποχρέωση: Τα παλιά διακριτικά npm μπορούν να διατηρηθούν αθόρυβα παράλληλα με τις νεότερες ροές εργασίας που βασίζονται στο OIDC. Τα έργα χρειάζονται σαφείς πολιτικές για την ανάκλησή τους μόλις εφαρμοστούν ασφαλέστερες μέθοδοι.
- Οι αυτοματοποιημένες ενημερώσεις κόβονται και προς τις δύο κατευθύνσεις: Οι αυτόματες αυξήσεις στις εξαρτήσεις επιταχύνουν την ανάπτυξη, αλλά σημαίνουν επίσης ότι μια κακόβουλη έκδοση μπορεί να διαδοθεί μέσω των οικοσυστημάτων πριν κανείς το προσέξει.
- Η σάρωση εξαρτήσεων είναι απαραίτητη αλλά όχι επαρκής: Στατικοί έλεγχοι και
npm auditείναι χρήσιμα, αλλά δυσκολεύονται εφήμερη συμπεριφορά όπως τα αυτοδιαγραφόμενα σενάρια μετά την εγκατάσταση. - Η ασφάλεια του συντηρητή είναι κρίσιμη υποδομή: Η ισχυρή MFA, τα κλειδιά ασφαλείας υλικού, ο προσεκτικός χειρισμός των διακριτικών πρόσβασης και η τακτική αναθεώρηση του ποιος μπορεί να δημοσιεύσει είναι πλέον εξίσου σημαντικά με τη σύνταξη καλού κώδικα.
Για τους ιδρυτές, τους CTO και τους ηγέτες της μηχανικής, ο συμβιβασμός του Axios αποτελεί μια υπενθύμιση ότι Ο κίνδυνος στην εφοδιαστική αλυσίδα είναι ένα στρατηγικό ζήτημα, όχι μόνο τεχνικό. Επηρεάζει την ταχύτητα με την οποία μπορείτε να παραδώσετε, τον τρόπο με τον οποίο σχεδιάζετε τους αγωγούς CI/CD και τον τρόπο με τον οποίο εξισορροπείτε την ευκολία του ανοιχτού κώδικα με την ανάγκη επαλήθευσης του τι εκτελείτε στην παραγωγή.
Συνολικά, η παραβίαση του Axios στο npm δείχνει πώς μια βραχύβια αλλά καλά σχεδιασμένη επίθεση μπορεί να μετατρέψει ένα αξιόπιστο δομικό στοιχείο του οικοσυστήματος JavaScript σε έναν κρυφό αγωγό για κακόβουλο λογισμικό απομακρυσμένης πρόσβασης. Με τους επιτιθέμενους να στοχεύουν τόσο τους συντηρητές και τα κανάλια διανομής όσο και τους τελικούς χρήστες, η διατήρηση της υγείας των αλυσίδων εφοδιασμού λογισμικού εξαρτάται πλέον από αυστηρότερους ελέγχους γύρω από τις ροές εργασίας δημοσίευσης, επιθετική παρακολούθηση για ανωμαλίες και προθυμία αντιμετώπισης των εξαρτήσεων με τον ίδιο σκεπτικισμό που κάποτε προοριζόταν μόνο για την εξωτερική κίνηση δικτύου.
