Один из самых популярных JavaScript-пакетов в экосистеме npm — Axios, на который приходится порядка 100 миллионов загрузок в неделю, стал жертвой тщательно спланированной supply chain атаки. Подтверждено, что инцидент связан с высокотаргетированной кампанией социальной инженерии, которую исследователи связывают с северокорейской группировкой UNC1069 (BlueNoroff), ранее известной атаками на криптовалютный сектор.
Как атаковали мейнтейнера Axios: социальная инженерия высшего уровня
Ключевой вектор атаки — не уязвимость в коде, а компрометация учетных данных мейнтейнера через многоэтапную социальную инженерию. Злоумышленники сначала представились основателем реальной, широко известной компании, тщательно склонировав его личность и бренд организации. Были подделаны профиль, стиль общения и даже инфраструктура для коммуникаций.
Разработчика пригласили в поддельный Slack-workspace, оформленный под корпоративную среду: с логотипами, правдоподобным названием и тематическими каналами, где публиковались ссылки на настоящие посты из LinkedIn. Это создавало убедительную иллюзию легитимной деловой коммуникации и снижало уровень настороженности.
Следующим шагом стало приглашение на встречу в Microsoft Teams. Во время поддельного звонка на экране появилось «системное» сообщение об ошибке, якобы связанной с устаревшим компонентом на рабочей станции разработчика. После запуска «обновления» на устройство был незаметно загружен и выполнен удалённый доступ (RAT).
От удаленного доступа до отравленного пакета: цепочка компрометации
Получив удалённый доступ к системе, злоумышленники смогли похитить учетные данные npm, с помощью которых мейнтейнер публикует новые версии пакета. Это позволило им выпустить две троянизированные версии Axios — 1.14.1 и 0.30.4, содержащие вредоносный компонент под названием WAVESHAPER.V2.
По данным исследователей, описанная тактика практически полностью совпадает с ранее зафиксированными операциями группировок UNC1069 / BlueNoroff. Кампания подробно анализировалась в отчетах компаний Huntress и Kaspersky, где она фигурирует под названием GhostCall. Изначально эти операции были нацелены преимущественно на основателей криптопроектов, венчурные фонды и публичных персон.
Особую тревогу вызывает то, что фокус злоумышленников смещается на мейнтейнеров крупных open-source проектов. Компрометировав одного разработчика с доступом к популярному пакету, атакующие получают возможность массово поражать «нисходящую» цепочку зависимостей — от небольших стартапов до крупных корпоративных приложений.
Риски для экосистемы JavaScript и supply chain безопасности
В современных приложениях JavaScript активно используются десятки и сотни зависимостей из npm. Axios является де-факто стандартом для HTTP-запросов во фронтенд- и бэкенд-разработке. Поэтому компрометация такого пакета создает колоссальный радиус поражения: вредоносный код распространяется не только напрямую, но и через транзитивные зависимости, когда Axios включен внутрь других библиотек.
По словам исследователей, подобные инциденты демонстрируют, насколько сложно оценить реальную зону поражения в современной JavaScript-среде. Механизм разрешения зависимостей, автоматические обновления и доверие к центральным репозиториям создают идеальные условия для масштабных supply chain атак, если доверенная цепочка публикации пакета оказывается скомпрометированной.
Ответ мейнтейнера и меры по усилению защиты
После выявления инцидента мейнтейнер Axios объявил о ряде защитных шагов. Среди них:
• Полный сброс устройств и учетных данных. Физические машины, учетные записи npm и другие критичные доступы были пересозданы для исключения скрытого присутствия атакующих.
• Введение «неизменяемых релизов» (immutable releases). После публикации версия пакета не может быть ретроспективно изменена, что снижает риск подмены уже выпущенных артефактов.
• Переход на OIDC для публикации пакетов. Использование OIDC-flow вместо статических токенов уменьшает вероятность их кражи и повторного использования, так как права ограничиваются в пространстве и по времени.
• Обновление GitHub Actions по best practices. Ужесточены политики CI/CD: минимизация прав, ограничение контекстов выполнения, проверка целостности артефактов и более строгая валидация действий, выполняемых через автоматизацию.
Эти шаги отражают более широкий тренд: защита open-source теперь требует не только анализа кода, но и укрепления процессов разработки и поставки (SDLC и supply chain security).
Инцидент с Axios показывает, что даже зрелые и широко используемые open-source проекты уязвимы перед таргетированной социальной инженерией и компрометацией цепочки поставки. Организациям и разработчикам имеет смысл пересмотреть свои процессы: внедрить многофакторную аутентификацию для всех критичных аккаунтов, использовать аппаратные ключи, применять политики «минимально необходимых прав» в CI/CD, регулярно проверять зависимости с помощью специализированных инструментов, а также обучать команды распознавать сложные сценарии социальной инженерии. Чем раньше эти практики станут стандартом, тем сложнее будет злоумышленникам использовать доверие к open-source как оружие против конечных пользователей.
