Предупреждение о вредоносных релизах Axios
Компания по безопасности блокчейна Slow Fog выпустила срочное предупреждение о вредоносных релизах Axios, содержащих пакет malware plain-crypto-js. Это создает риск для крипторазработчиков, подвергая их системы кроссплатформенным троянам удаленного доступа (RAT) и кражам учетных данных через npm.
Компрометация популярных версий
Недавно опубликованные версии [email protected] и [email protected] включили вредоносную зависимость [email protected], что превратило один из самых популярных HTTP-клиентов JavaScript в инструмент для атак на цепочку поставок против крипторазработчиков. Axios имеет более 80 миллионов загрузок в неделю на npm, что означает, что даже кратковременное компрометирование может иметь серьезные последствия для бэкендов кошельков, торговых ботов, бирж и инфраструктуры DeFi, построенной на Node.js.
Рекомендации от Slow Fog
В своем уведомлении Slow Fog предупредила, что «пользователи, установившие [email protected] через команду npm install -g, потенциально подвержены риску». Компания рекомендует немедленно сменить учетные данные и провести тщательное расследование на стороне хоста на предмет признаков компрометации.
Механизм атаки
Атака основывается на поддельном криптографическом пакете [email protected], который тихо добавляется в качестве новой зависимости и используется исключительно для выполнения зашифрованного постинсталляционного скрипта. Этот скрипт устанавливает кроссплатформенный троян удаленного доступа, нацеленный на системы Windows, macOS и Linux.
Компания безопасности StepSecurity объяснила, что «ни одна из вредоносных версий не содержит вредоносного кода внутри самого Axios». Вместо этого «обе версии внедряют поддельную зависимость
[email protected], единственной целью которой является запуск постинсталляционного скрипта, разворачивающего кроссплатформенный троян удаленного доступа (RAT).»
Согласованная атака на цепочку поставок
Исследовательская группа Socket отметила, что вредоносный пакет plain-crypto-js был опубликован всего за несколько минут до компрометированной версии Axios, назвав это «согласованной атакой на цепочку поставок» против экосистемы JavaScript.
Согласно StepSecurity, вредоносные релизы Axios были опубликованы с использованием украденных учетных данных npm, принадлежащих основному разработчику jasonsaayman, что позволило злоумышленникам обойти обычный процесс выпуска проекта на GitHub.
«Это активное компрометирование цепочки поставок в
[email protected], который теперь зависит от[email protected]— пакета, опубликованного за несколько часов до этого и идентифицированного как зашифрованный malware, который выполняет команды оболочки и стирает следы», — написал инженер по безопасности Джулиан Харрис в LinkedIn.
Действия npm и последствия
npm уже удалил вредоносные версии и вернул разрешение Axios обратно к 1.14.0, но любая среда, которая загрузила версии 1.14.1 или 0.3.4 в течение окна атаки, остается под угрозой до тех пор, пока секреты не будут изменены, а системы не будут восстановлены.
Предыдущие инциденты и риски
Компрометация напоминает предыдущие инциденты npm, которые напрямую нацеливались на крипто пользователей, включая кампанию 2025 года, в которой 18 популярных пакетов, таких как chalk и debug, тихо меняли адреса кошельков для кражи средств. Это побудило технического директора Ledger Шарля Гийемета предупредить, что «пострадавшие пакеты уже были загружены более 1 миллиарда раз.»
Исследователи также задокументировали malware npm, крадущий ключи из кошельков Ethereum, XRP и Solana. SlowMist оценила, что крипто-взломы и мошенничества — включая пакеты с задними дверями и атаки цепочки поставок с использованием ИИ — привели к потерям более 2,3 миллиарда долларов только в первой половине 2025 года.
Рекомендации по безопасности
На данный момент совет Slow Fog прост: понизьте версию Axios до 1.14.0, проверьте зависимости на наличие следов [email protected] или openclaw и предполагайте, что любые учетные данные, затронутые этими средами, скомпрометированы.
В предыдущей статье crypto.news о атаках на цепочку поставок JavaScript Гийемет из Ledger предупреждал, что компрометированные пакеты npm с более чем 2 миллиардами загрузок в неделю представляют системный риск для dApps и кошельков, построенных на Node.js. В другой статье подробно описывалось, как группа Лазаря из Северной Кореи внедрила вредоносные пакеты npm, чтобы создать задние двери в средах разработчиков и нацелиться на пользователей кошельков Solana и Exodus. Третья статья crypto.news о следующем поколении malware показала, как атаки на цепочку поставок через npm и недорогие инструменты ИИ помогли преступникам удаленно контролировать более 4200 машин разработчиков и способствовали миллиардам долларов в потерях криптовалюты.
