Получив контроль, хакер опубликовал вредоносные версии — 1.14.1 и 0.30.4. В них была добавлена фальшивая зависимость plain‑crypto‑js, которая не содержит вредоносного кода в самой Axios, но при установке запускает пост-инсталляционный скрипт, развёртывающий кроссплатформенный троян удалённого доступа (RAT). По оценкам специалистов, пока эти версии оставались доступными в npm, их загрузили до 600 000 раз.
Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин предупредил о том, что угроза остаётся актуальной для организаций, которые не успели обновить средства защиты или используют неподдерживаемые программные продукты.
«Вы, возможно, никогда и не слышали о JavaScript-библиотеке, но вы абсолютно точно используете её каждый день. Десятки тысяч приложений под все возможные платформы ежесекундно пользуются её услугами, потому что она реализует важнейший механизм выполнения HTTP-запросов в среде выполнения Node.JS, одной из самых популярных на сегодня. И именно в этой библиотеке была обнаружена уязвимость, благодаря которой в определённую версию Axious была добавлена вредоносная зависимость», — прокомментировал эксперт.
Сергей Полунин подчеркнул, что атака развивалась постепенно, поэтому на раннем этапе антивирусные средства не могли обнаружить проблему. Однако после опубликования информации об уязвимости в библиотеке авторы программного обеспечения принялись обновлять код, а службы информационной безопасности и SOC по всему миру добавлять сигнатуры в свои средства обнаружения.
Эксперт также добавил, что даже если вредоносный код сумел обойти традиционные антивирусы на начальном этапе, наличие централизованной системы мониторинга и управления инцидентами, такой как GSOC, позволяет свести риски к минимуму.
«Сегодня эта угроза уже не актуальна, но только при условии, что у вас есть необходимые инструменты вроде того же антивирусного ПО, — добавляет Сергей Полунин. — Потому что если автор программы прекратил её разработку и поддержку, количество уязвимых библиотек в ней делают такую программу бомбой замедленного действия».
