Axios bajo fuego: así se gestó el ataque a la cadena de suministro en npm

Utama » Python » Axios bajo fuego: así se gestó el ataque a la cadena de suministro en npm

Selama beberapa jam yang menegangkan, salah satu pustaka JavaScript yang paling banyak digunakan di planet ini, Axios, menjadi kenderaan penghantaran perisian hasad yang tidak dijangka. Satu sasaran serangan rantaian bekalan ke atas ekosistem npm telah menukar kemas kini kebergantungan rutin kepada pintu belakang yang berpotensi untuk penyerang pada ratusan ribu mesin pembangun dan sistem binaan.

Penyiasat dari beberapa firma keselamatan dan Kumpulan Perisikan Ancaman Google telah mengumpulkan bagaimana seorang pelaku yang berniat jahat telah menyelinap masuk trojan akses jauh (RAT) ke dalam keluaran Axios tertentu pada npm, serupa dengan cacing rantaian bekalan npm.

Apakah Axios dan mengapa kompromi itu sangat penting

Pada terasnya, Axios ialah klien HTTP berasaskan janji untuk Node.js dan pelayarIa berada di sebalik tabir dalam banyak projek, mengendalikan tugas harian seperti "ambil mesej saya dari pelayan" atau "hantar borang ini ke API" tanpa pembangun perlu menulis kod rangkaian peringkat rendah dengan tangan.

Oleh kerana ia berjalan dalam pelayar dan pada pelayan Node.js, Axios telah menjadi kebergantungan asas dalam susunan JavaScript modenAnda mungkin tidak pernah memasangnya secara eksplisit, namun anda masih bergantung padanya secara tidak langsung apabila anda:

• Gunakan aplikasi web yang dibina dengan rangka kerja seperti React, Vue atau Angular yang membungkus panggilan API mereka dengan Axios.
• Jalankan aplikasi desktop atau mudah alih yang dibina berdasarkan teknologi seperti Electron, React Native dan masa jalan berasaskan web yang serupa.
• Berinteraksi dengan alatan SaaS yang lebih kecil, papan pemuka pentadbir atau perkhidmatan yang dihoskan sendiri yang pembangunnya memilih Axios untuk permintaan HTTP.

Dalam erti kata itu, Axios agak serupa dengan paip di rumah andaAnda jarang memikirkannya, tetapi ia membawa "air" data antara aplikasi anda dan dunia luar. Anda hanya benar-benar menyedarinya apabila terdapat kebocoran—betul-betul apa yang dicipta oleh serangan ini, tetapi pada skala ekosistem perisian.

Bagaimana serangan npm Axios berlaku

Insiden itu tertumpu pada dua siaran npm: axios@1.14.1 and axios@0.30.4Menggunakan kelayakan yang dikompromi untuk salah satu penyelenggara utama projek, penyerang berjaya menerbitkan binaan berniat jahat terus ke npm sambil membiarkan kod sumber GitHub awam tidak disentuh, corak yang turut diterangkan dalam Analisis Shai‑Hulud.

Daripada mengubah kod Axios secara nyata, penyerang itu menambah kebergantungan baharu yang nampaknya tidak berkaitan: kripto-biasa-js@4.2.1Pakej ini direka khas untuk operasi dan tidak diimport di mana-mana sahaja dalam fail sumber Axios, bendera merah bagi sesiapa sahaja yang meneliti perbezaan—tetapi mudah terlepas pandang dalam aliran kerja automatik yang hanya mempercayai pendaftaran.

Bersama-sama, dua versi aksio yang tercemar itu mempunyai potensi jejak yang sangat besar, mencapai sehingga sekitar 100 juta muat turun mingguan di npmAxios dianggarkan terdapat dalam hampir 80% persekitaran awan dan saluran paip CI/CD, jadi tempoh pendedahan yang singkat pun mewakili risiko sistemik yang serius.

Yang penting, versi yang terjejas tidak pernah muncul dalam tag GitHub rasmi untuk projek Axios. Perincian itu menunjukkan dengan jelas bahawa proses keluaran biasa telah dipintas: penyerang memanfaatkan token npm yang dicuri untuk menolak pakej terus ke pendaftaran, di luar jalur daripada sejarah sumber awam.

Mekanik kebergantungan berniat jahat dan RAT

Inti pati kompromi terletak pada apa yang berlaku semasa pemasangan. Sebarang aliran kerja yang dijalankan npm install dan ditarik masuk axios@1.14.1, axios@0.30.4 or kripto-biasa-js@4.2.1 dengan skrip diaktifkan mencetuskan rutin pasca pemasangan tersembunyi.

Di dalam kebergantungan berniat jahat, a skrip pasca pemasangan (nod setup.js) dilaksanakan secara automatik. Skrip tersebut memuat turun dropper yang dikaburkan, yang kemudiannya mengambil muatan RAT khusus platform yang disesuaikan untuk macOS, Windows atau LinuxRAT telah memberikan penyerang akses jauh interaktif kepada mesin yang diceroboh.

Sebaik sahaja aktif, trojan akses jauh ini boleh menyenaraikan sistem, menuai rahsia dan menjalankan arahan sewenang-wenangnya. Kekunci API awan, token penggunaan CI, token pengesahan npm, kekunci SSH, token akses repositori dan pembolehubah persekitaran sensitif yang lain biasanya disuntik ke dalam ejen binaan atau komputer riba pembangun.

Dari situ, penyerang boleh beralih: menyemak kod sumber, mengganggu keluaran akan datang, menambah lebih banyak pintu belakang atau beralih secara lateral ke dalam infrastruktur pengeluaran. Bagi pembangun yang mengusahakan projek berkaitan kripto—dompet, pertukaran, bahagian hadapan DeFi—akses jenis ini boleh diterjemahkan secara langsung kepada kecurian mata wang kripto atau penipuan kewangan yang lebih luas.

Taktik sembunyi-sembunyi: mengapa kompromi itu sukar ditemui

Pengarang perisian hasad telah berusaha sedaya upaya untuk memastikan jejak mereka sekecil dan sekejap mungkin. Menurut penyelidik, penitis membersihkan jejaknya sejurus selepas pelaksanaan.

Ini bermakna jika anda meneliti node_modules/plain-crypto-js/package.json selepas jangkitan, anda akan melihat manifes yang tidak berbahaya sama sekali: tiada skrip pasca pemasangan, tiada setup.js, tiada petunjuk jelas tentang perbuatan khianat. Alat standard seperti npm audit atau semakan direktori manual sepintas lalu tidak akan mendedahkan apa yang telah berlaku.

Dalam praktiknya, tingkah laku ini menyebabkan penyiasat bergantung pada luaran penunjuk kompromi (IOC), telemetri rangkaian dan artifak hos dan bukannya imbasan statik mudah bagi kandungan pakej npm. Apabila serangan itu didedahkan kepada umum, versi berniat jahat telah pun dikeluarkan daripada npm, sekali gus merumitkan lagi pembinaan semula aliran pelaksanaan yang tepat.

Petunjuk utama kompromi untuk insiden Axios

Walaupun perisian hasad cuba menyembunyikan jejaknya, pasukan keselamatan telah berkongsi IOC konkrit yang boleh membantu menentukan sama ada persekitaran terjejas. Antara yang paling penting ialah yang berikut:

Pada bahagian rangkaian, cari komunikasi dengan:

• domain: sfrclakcom
• Alamat IP: 142.11.206.73

Kedua-dua penunjuk telah disekat oleh vendor keselamatan arus perdana, tetapi ia kekal sebagai penanda berguna dalam log sejarah dan carian SIEM.

Pada sistem fail, penyiasat mengetengahkan artifak yang berkaitan dengan RAT:

• macOS: /Library/Caches/com.apple.act.mond
• Linux: /tmp/ld.py
• Windows: fail di bawah %PROGRAMDATA%\wt dan skrip sementara seperti %TEMP%\6202033.vbs or .ps1 yang mungkin hanya wujud seketika semasa pelaksanaan

Dari segi pakej npm, binaan yang dikompromi dan checksum yang diketahui ialah:

• axios@1.14.1, SHA-256: 2553649f2322049666871cea80a5d0d6adc700ca
• axios@0.30.4, SHA-256: d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71
• kripto-biasa-js@4.2.1, SHA-256: 07d889e2dadce6f3910dcbc253317d28ca61c766

Firma keselamatan seperti Huntress memerhatikan sekurang-kurangnya 135 sistem yang menghubungi pelayan arahan dan kawalan penyerang semasa tempoh pendedahan yang agak singkat, dan para penyelidik dari Google memberi amaran bahawa "beratus-ratus ribu" rahsia mungkin akhirnya telah disedut keluar akibatnya.

Siapakah dalang di sebalik serangan itu? Atribusi dan kaitan Korea Utara

Kumpulan Perisikan Ancaman Google telah mengaitkan secara terbuka kompromi Axios dengan suspek pelakon ancaman Korea Utara dijejaki sebagai UNC1069. John Hultquist, ketua penganalisis di unit ancaman Google, menyatakan bahawa pengendali Korea Utara mempunyai rekod prestasi yang panjang serangan rantaian bekalan yang bertujuan mencuri mata wang kripto dan aset lain.

Menurut Google dan vendor keselamatan lain, insiden Axios nampaknya merupakan sebahagian daripada kempen yang lebih luas oleh kumpulan Korea Utara, termasuk kumpulan seperti Lazarus, yang menumpukan pada pemerasan, kecurian kewangan dan penyusupan data menyasarkan sektor seperti kripto, fintech dan infrastruktur awan.

Walaupun impak penuh masih belum jelas, gabungan pakej yang sangat popular, akses kepada persekitaran pembangun dan sifat data yang dicuri menyebabkan penganalisis menjangkakan serangan susulan dalam bentuk kompromi rantaian bekalan selanjutnya, ransomware dan kecurian kripto langsung.

Bagaimana akaun penyelenggara dan aliran kerja npm disalahgunakan

Salah satu aspek yang paling meresahkan komuniti sumber terbuka ialah bagaimana penyerang berjaya menerbitkan versi Axios yang berniat jahat tanpa menyentuh pangkalan kod awam. Kuncinya ialah akaun penyelenggara yang dikompromi pada npm, dipercayai milik penyelenggara Axios utama yang dikenali sebagai jasonsaayman.

Penyerang dilaporkan telah menukar alamat e-mel yang berkaitan dengan akaun npm tersebut kepada alamat di bawah kawalan mereka. Dengan langkah itu, mereka boleh kunci penyelenggara yang sah dan menolak versi pakej baharu seolah-olah ia adalah kemas kini tulen, semuanya sementara repositori GitHub rasmi kekal bersih.

Operasi ini juga menjelaskan masalah struktur dalam npm: sokongan untuk token pengesahan legasi, dan keperluan untuk alat pengurusan rantaian bekalan dan dasar token yang lebih ketat.

Dalam kes ini, penyelidik keselamatan menunjukkan bahawa npm masih ditetapkan secara lalai kepada token legasi untuk penerbitan, dan tiada kawalan yang membatalkan token tersebut secara automatik sebaik sahaja kaedah penerbitan moden dikonfigurasikan. Kewujudan bersama itu mewujudkan pintu sisi yang terdedah yang boleh dieksploitasi oleh UNC1069.

Tetingkap pendedahan dan pengesanan awal

Kompromi Axios bukanlah satu proses yang panjang dan perlahan. Siasatan menunjukkan versi berniat jahat itu tersedia di npm selama kira-kira tiga jam antara lewat malam Ahad dan awal pagi Isnin atau Selasa, bergantung pada zon waktu.

StepSecurity dan firma lain menyatakan bahawa penyerang telah menyemai ekosistem dengan versi bersih bagi kebergantungan berniat jahat kira-kira 18 jam sebelum ini melampirkan varian yang dipersenjatai kepada Axios. Langkah itu nampaknya telah direka untuk membina sejarah yang baik untuk pakej tersebut dan mengelakkan pengesan anomali automatik tersandung apabila kebergantungan itu tiba-tiba muncul.

Sebaik sahaja keluaran Axios yang dijangkiti dilancarkan, trojan tersebut telah melakukan peninjauan meluas pada setiap sistem tempat ia dijalankan: mengimbas direktori, menyenaraikan proses yang sedang berjalan, menyenaraikan cakera dan kemudian menghantar maklumat tersebut kembali ke pelayan penyerang. Semua ini berlaku di sebalik tabir semasa apa yang, bagi pembangun, kelihatan seperti pemasangan kebergantungan rutin.

Hasil daripada respons yang diselaraskan daripada penyelenggara, npm dan pelbagai vendor keselamatan, versi berniat jahat itu berjaya dikeluarkan dalam beberapa jam. Namun, seperti yang ditekankan oleh beberapa penyelidik dan pasukan Google sendiri, tempoh pendedahan yang singkat tidak sama dengan risiko rendah apabila sasarannya adalah perpustakaan dengan puluhan juta muat turun mingguan.

Kesan terhadap pembangun, projek kripto dan pengguna akhir

Dari sudut praktikal, mangsa paling langsung insiden Axios ialah pembangun dan persekitaran binaan yang memasang versi berniat jahat. Sesiapa yang menjalankan pemasangan atau binaan yang memasukkan axios@1.14.1, axios@0.30.4 atau plain-crypto-js@4.2.1 dengan skrip diaktifkan mesti menganggap sistem tersebut boleh dikompromi sepenuhnya.

Untuk projek dalam ruang mata wang kripto—dompet, bursa berpusat dan terdesentralisasi, papan pemuka DeFi, bot dagangan dan bahagian hadapan Web3—taruhannya sangat tinggi. Kebanyakan sistem ini bergantung pada Axios untuk berhubung dengan gerbang blockchain, API dan perkhidmatan backend, dan mereka sering mengurus rahsia sensitif seperti kunci peribadi, kelayakan API dan data pengguna.

Jika stesen kerja pembangun atau ejen CI dalam projek sedemikian dijangkiti, penyerang bukan sahaja boleh memperoleh rahsia yang disimpan di dalam negara tetapi juga akses kepada repo dan saluran paip pelaksanaanDengan itu, mereka mungkin menyuntik kod berniat jahat ke dalam keluaran akan datang, menjejaskan pengguna akhir secara tidak langsung atau mengalihkan dana.

Sebaliknya, pengguna yang hanya menjalankan aplikasi yang telah siap dalam pelayar mereka berada dalam kedudukan yang lebih baik: RAT telah dihantar semasa langkah pemasangan dan pembinaan, bukan semasa masa jalan dalam pelayar. Jadi, melawat tapak yang menggunakan Axios untuk panggilan sisi klien tidak dengan sendirinya mencetuskan serangan. Risiko tertumpu pada mereka yang memasang pakej npm yang terjejas.

Langkah segera yang perlu diambil oleh pemaju

Pasukan keselamatan dan penyelenggara telah menjelaskan: jika terdapat kemungkinan sistem anda telah menarik keluaran Axios atau plain-crypto-js yang dikompromi, layan hos tersebut sebagai tidak dipercayai sepenuhnya sehingga disiasatIni bermakna lebih daripada sekadar menambah nombor versi.

Tindakan konkrit yang disyorkan oleh penyelidik dan vendor termasuk:

• Audit kebergantungan dan fail kunci anda: Carian untuk axios@1.14.1, axios@0.30.4 and plain-crypto-js@4.2.1 in package-lock.json, pnpm-lock.yaml, yarn.lock dan log CI; lihat cara membaikinya dengan selamat.
• Tingkatkan kepada versi selamat yang disahkan: Beralih kepada keluaran Axios yang bersih (contohnya, tag yang ditambal serta-merta yang disyorkan oleh penyelenggara) dan pastikan fail kunci anda dijana semula.
• Putar kelayakan secara agresif: Andaikan sebarang rahsia yang terdapat pada mesin atau saluran paip yang terjejas—kunci API awan, token npm, kunci SSH, kunci pelaksanaan, pembolehubah .env—mungkin telah dicuri dan putarkannya.
• Bina semula sistem yang terjejas: Jika boleh, gunakan semula ejen binaan, pelari CI dan stesen kerja pembangun daripada imej yang dipercayai dan bukannya cuba membersihkannya di tempatnya.
• Infrastruktur Blok C2: Tambah sfrclak.com and 142.11.206.73 kepada tembok api, senarai sekatan DNS dan peraturan EDR.
• Memburu artifak: Semak laluan sistem fail dan fail sementara yang berkaitan dengan RAT pada hos macOS, Windows dan Linux.

Beberapa syarikat keselamatan telah menasihati organisasi yang memasang versi tercemar untuk menganggap kompromi secara lalaiDalam erti kata lain, teruskan dengan andaian bahawa penyerang mempunyai akses dan bekerja secara sistematik melalui langkah-langkah tindak balas insiden dan bukannya berharap perisian hasad tidak melakukan apa-apa.

Pengajaran yang lebih luas untuk keselamatan rantaian bekalan perisian

Di luar triaj segera, insiden Axios telah membangkitkan semula perdebatan tentang bagaimana ekosistem yang lebih luas mengendalikan kepercayaan, identiti dan pengedaran dalam sumber terbuka. Ia menggambarkan bagaimana a akaun penyelenggara perpustakaan tunggal boleh menjadi tonggak utama bagi postur keselamatan organisasi yang tidak terkira banyaknya.

Beberapa tema telah muncul daripada bedah siasat dan analisis vendor:

• Token legasi adalah liabiliti: Token npm lama boleh kekal secara senyap bersama aliran kerja berasaskan OIDC yang lebih baharu. Projek memerlukan dasar yang jelas untuk membatalkannya sebaik sahaja kaedah yang lebih selamat dilaksanakan.
• Kemas kini automatik merangkumi kedua-dua cara: Bonjolan kebergantungan automatik mempercepatkan pembangunan tetapi juga bermakna keluaran berniat jahat boleh merebak melalui ekosistem sebelum sesiapa menyedarinya.
• Pengimbasan kebergantungan adalah perlu tetapi tidak mencukupi: Pemeriksaan statik dan npm audit berguna, namun mereka bergelut menentang tingkah laku sementara seperti skrip pasca pemasangan yang memadam sendiri.
• Keselamatan penyelenggara adalah infrastruktur penting: MFA yang kukuh, kunci keselamatan perkakasan, pengendalian token akses yang teliti dan semakan berkala tentang siapa yang boleh menerbitkan kini sama pentingnya dengan menulis kod yang baik.

Bagi pengasas, CTO dan pemimpin kejuruteraan, kompromi Axios merupakan peringatan bahawa Risiko rantaian bekalan merupakan isu strategik, bukan sekadar teknikal. Ia mempengaruhi seberapa cepat anda boleh menghantar, cara anda mereka bentuk saluran paip CI/CD anda dan cara anda mengimbangi kemudahan sumber terbuka dengan keperluan untuk mengesahkan apa yang anda jalankan dalam pengeluaran.

Secara keseluruhannya, kompromi Axios pada npm menunjukkan bagaimana serangan yang berjangka pendek tetapi dirancang dengan baik boleh mengubah blok binaan ekosistem JavaScript yang dipercayai menjadi saluran tersembunyi untuk perisian hasad akses jauh. Dengan penyerang menyasarkan penyelenggara dan saluran pengedaran serta pengguna akhir, memastikan rantaian bekalan perisian yang sihat kini bergantung pada kawalan yang lebih ketat di sekitar aliran kerja penerbitan, pemantauan agresif untuk anomali dan kesediaan untuk melayan kebergantungan dengan skeptisisme yang sama yang dahulunya hanya untuk trafik rangkaian luaran.

artikel berkaitan:

Panduan mendalam untuk pengauditan keselamatan npm dan serangan rantaian bekalan