Aktualizacja 31 marca 2026, 13:28 UTC: Ten artykuł został zaktualizowany o komentarze Abdelfattaha Ibrahima, starszego inżyniera ds. bezpieczeństwa ofensywnego w Hacken.
Dwa złośliwe wydania Axios npm wywołały ostrzeżenia dla programistów, aby zmienili dane uwierzytelniające i traktowali dotknięte systemy jako skompromitowane po ataku na łańcuch dostaw, który zainfekował popularną bibliotekę klienta HTTP JavaScript.
Kompromitacja została po raz pierwszy zgłoszona przez firmę zajmującą się cyberbezpieczeństwem Socket, która podała, że axios@1.14.1 i axios@0.30.4 zostały zmodyfikowane w celu pobrania plain-crypto-js@4.2.1, złośliwej zależności, która uruchamiała się automatycznie podczas instalacji, zanim wydania zostały usunięte z npm.
Według firmy ochroniarskiej OX Security, zmieniony kod może zapewnić atakującym zdalny dostęp do zainfekowanych urządzeń, umożliwiając kradzież wrażliwych danych, takich jak dane logowania, klucze API i informacje o portfelach kryptowalutowych.
Incydent pokazuje, jak jeden skompromitowany komponent open-source może potencjalnie rozprzestrzenić się na tysiące aplikacji, które na nim polegają, narażając nie tylko programistów, ale także platformy i użytkowników podłączonych do systemu.
OX Security ostrzegło programistów, którzy zainstalowali axios@1.14.1 lub axios@0.30.4, aby traktowali swoje systemy jako w pełni skompromitowane i natychmiast zmienili dane uwierzytelniające, w tym klucze API i tokeny sesji.
Socket podało, że skompromitowane wydania Axios zostały zmodyfikowane w celu uwzględnienia zależności od plain-crypto-js@4.2.1, pakietu opublikowanego krótko przed incydentem, a później zidentyfikowanego jako złośliwy.
Powiązane: Rozszerzenie przeglądarki Trust Wallet wyłączone przez „błąd” Chrome Store, mówi CEO
Firma podała, że zależność została skonfigurowana tak, aby uruchamiać się automatycznie podczas instalacji za pośrednictwem skryptu post-install, umożliwiając atakującym wykonywanie kodu na systemach docelowych bez dodatkowej interakcji użytkownika.
Socket doradził programistom, aby przejrzeli swoje projekty i pliki zależności pod kątem dotkniętych wersji Axios i powiązanego pakietu plain-crypto-js@4.2.1, a także natychmiast usunęli lub wycofali wszelkie skompromitowane wersje.
Abdelfattah Ibrahim, starszy inżynier ds. bezpieczeństwa ofensywnego w Hacken, powiedział Cointelegraph, że kompromitacja może mieć poważne konsekwencje dla aplikacji związanych z kryptowalutami, które polegają na Axios do operacji backendowych.
„To zła wiadomość dla dappów i aplikacji, które zajmują się kryptowalutami, ponieważ Axios odgrywa ogromną rolę w wywołaniach API” – powiedział, zauważając, że dotknięte systemy mogą obejmować integracje giełdowe, sprawdzanie sald portfeli i transmisje transakcji.
Ibrahim powiedział, że złośliwe oprogramowanie wdrożone w ataku funkcjonuje jako pełny trojan zdalnego dostępu, umożliwiając atakującym bezpośrednią interakcję ze skompromitowanymi systemami. Dodał, że incydent uwypukla szerszą słabość w sposobie zarządzania ryzykami łańcucha dostaw.
Wcześniejsze incydenty kryptowalutowe pokazały, jak naruszenia łańcucha dostaw mogą eskalować od skradzionych informacji deweloperskich do strat portfelowych użytkowników.
3 stycznia, onchainowy śledczy ZachXBT poinformował, że „setki” portfeli w sieciach kompatybilnych z Ethereum Virtual Machine zostały opróżnione w szerokim ataku, który wysysał małe kwoty od każdej ofiary.
Badacz cyberbezpieczeństwa Vladimir S. powiedział, że incydent był potencjalnie powiązany z grudniowym naruszeniem dotykającym Trust Wallet, które spowodowało straty w wysokości około 7 milionów dolarów w ponad 2500 portfelach.
Trust Wallet później podało, że naruszenie mogło wynikać z kompromitacji łańcucha dostaw obejmującej pakiety npm używane w jego procesie rozwoju.
Magazyn: Nikt nie wie, czy kryptografia odporna na kwantyfikację w ogóle zadziała