Відомий інструмент для розробників, бібліотека Axios, що використовується у мільйонах проєктів по всьому світу, став мішенню масштабної кібератаки. Зловмисник отримав контроль над цим відкритим програмним забезпеченням і розповсюдив шкідливий код, наражаючи на ризик компрометації даних численних розробників.
Про це розповідає ProIT
Як відбулася атака на проєкт Axios
У ніч на понеділок зловмисник завантажив шкідливу версію бібліотеки Axios до репозиторію npm — одного з головних сховищ для open source-проєктів. Axios щотижня завантажують десятки мільйонів разів, і на неї покладаються численні веб- та програмні рішення для забезпечення підключення до інтернету. Інцидент вдалося виявити та припинити приблизно за три години, як повідомляють спеціалісти з кібербезпеки компанії StepSecurity, які детально проаналізували атаку.
Зараз дедалі частіше хакери намагаються скомпрометувати саме популярні open source-проєкти, щоб уразити величезну кількість користувачів через так звані атаки на ланцюг постачання — supply chain attacks. Подібні інциденти вже траплялися з компаніями 3CX, Kaseya, SolarWinds, а також із такими інструментами, як Log4j і Polyfill.io, що призводило до масового розповсюдження шкідливого ПЗ серед їхніх користувачів.
Механізм компрометації та наслідки
Хакеру вдалося отримати доступ до одного з основних облікових записів розробника проєкту Axios, який мав права на публікацію оновлень. Для цього зловмисник змінив електронну адресу у профілі на власну, ускладнивши відновлення контролю над акаунтом для легітимного розробника. Після отримання доступу до облікового запису хакер впровадив у бібліотеку шкідливий код, що містив віддалений троян (RAT). Такий тип шкідливого ПЗ дає кіберзлочинцю повний контроль над зараженим пристроєм.
Шкідлива версія Axios була представлена як звичайне оновлення для користувачів Windows, macOS та Linux, що значно ускладнило її виявлення. Дослідники з кібербезпеки також повідомляють, що шкідливий код і механізми доставки були створені так, щоб автоматично видаляти себе після встановлення, приховуючи сліди інфікування від антивірусних програм та експертів.
Security company Aikido, which also investigated the incident, said anyone who downloaded the code “should assume their system is compromised”.
На даний момент залишається невідомим, скільки користувачів встигли завантажити шкідливу версію Axios до моменту зупинки атаки. Експерти радять усім, хто встановлював або оновлював Axios у цей період, негайно перевірити свої системи на наявність загрози.