Slow Fog alarmuje o złośliwych wydaniach axios zawierających malware plain-crypto-js, narażając deweloperów kryptowalut na międzyplatformowe trojany zdalnego dostępu (RATy) i kradzież danych uwierzytelniających za pośrednictwem npm.
Firma Slow Fog, zajmująca się bezpieczeństwem blockchain, wydała pilne ostrzeżenie bezpieczeństwa po tym, jak nowo opublikowane wydania [email protected] i [email protected] zawierały złośliwą zależność, [email protected], zamieniając jednego z najczęściej używanych klientów HTTP JavaScript w broń łańcucha dostaw przeciwko deweloperom kryptowalut. Axios odnotowuje ponad 80 milionów pobrań tygodniowo na npm, co oznacza, że nawet krótkotrwałe naruszenie może rozprzestrzenić się na zaplecza portfeli, boty handlowe, giełdy i infrastrukturę DeFi zbudowaną na Node.js. W swoim komunikacie Slow Fog ostrzegł, że „użytkownicy, którzy zainstalowali [email protected] za pośrednictwem npm install -g, są potencjalnie zagrożeni”, zalecając natychmiastową rotację danych uwierzytelniających i dokładne badanie hostów pod kątem oznak kompromitacji.
Atak opiera się na fałszywym pakiecie kryptograficznym, [email protected], który jest cicho dodawany jako nowa zależność i wykorzystywany wyłącznie do wykonania zaciemnionego skryptu postinstall, który instaluje międzyplatformowego trojana zdalnego dostępu, celującego w systemy Windows, macOS i Linux.
Firma StepSecurity wyjaśniła, że „żadna ze złośliwych wersji nie zawiera ani jednej linii złośliwego kodu w samym Axios”, i że zamiast tego „obie wstrzykują fałszywą zależność, [email protected], której jedynym celem jest uruchomienie skryptu postinstall, który wdraża międzyplatformowego trojana zdalnego dostępu (RAT)”. Zespół badawczy Socket zauważył, że złośliwy pakiet plain-crypto-js został opublikowany zaledwie kilka minut przed naruszonym wydaniem axios, nazywając to „skoordynowanym atakiem na łańcuch dostaw” przeciwko ekosystemowi JavaScript.
Według StepSecurity, złośliwe wydania axios zostały wypchnięte przy użyciu skradzionych danych uwierzytelniających npm należących do głównego opiekuna „jasonsaayman”, umożliwiając atakującym ominięcie zwykłego, opartego na GitHubie procesu wydawania projektu. „To aktywne naruszenie łańcucha dostaw w [email protected], które nowo zależy od [email protected] — pakietu opublikowanego kilka godzin wcześniej i zidentyfikowanego jako zaciemnione złośliwe oprogramowanie, które wykonuje polecenia shella i usuwa ślady” – napisał inżynier bezpieczeństwa Julian Harris na LinkedIn. npm usunął złośliwe wersje i przywrócił rozwiązanie axios do 1.14.0, ale każde środowisko, które pobrało 1.14.1 lub 0.3.4 w oknie ataku, pozostaje zagrożone, dopóki sekrety nie zostaną zmienione, a systemy nie zostaną przebudowane.
Naruszenie to przypomina wcześniejsze incydenty npm, które bezpośrednio celowały w użytkowników kryptowalut, w tym kampanię z 2025 roku, w której 18 popularnych pakietów, takich jak chalk i debug, po cichu zamieniało adresy portfeli w celu kradzieży środków, co skłoniło CTO Ledger, Charlesa Guillemeta, do ostrzeżenia, że „dotknięte pakiety zostały już pobrane ponad miliard razy”. Naukowcy udokumentowali również złośliwe oprogramowanie npm kradnące klucze z portfeli Ethereum, XRP i Solana, a SlowMist oszacował, że ataki hakerskie i oszustwa kryptowalutowe — w tym pakiety z tylnymi drzwiami i ataki na łańcuch dostaw wspomagane sztuczną inteligencją — spowodowały straty przekraczające 2,3 miliarda dolarów tylko w pierwszej połowie 2025 roku. Na razie rada Slow Fog jest dosadna: obniż wersję axios do 1.14.0, przeprowadź audyt zależności pod kątem wszelkich śladów [email protected] lub openclaw i załóż, że wszelkie dane uwierzytelniające używane w tych środowiskach zostały naruszone.
We wcześniejszym artykule crypto.news na temat ataków na łańcuch dostaw JavaScript, Guillemet z Ledger ostrzegał, że naruszone pakiety npm, z ponad 2 miliardami pobrań tygodniowo, stanowią systemowe ryzyko dla dApps i portfeli zbudowanych na Node.js. Inny artykuł opisywał, jak północnokoreańska grupa Lazarus Group podłożyła złośliwe pakiety npm, aby zainstalować tylne drzwi w środowiskach deweloperskich i atakować użytkowników portfeli Solana i Exodus. Trzeci artykuł crypto.news na temat złośliwego oprogramowania nowej generacji pokazał, jak ataki na łańcuch dostaw za pośrednictwem npm i tanie narzędzia AI pomogły przestępcom zdalnie kontrolować ponad 4200 maszyn deweloperskich i przyczyniły się do miliardowych strat w kryptowalutach.