Сегодня 15 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Хакеры подсадили троян в одну из самых скачиваемых библиотек JavaScript

Хакерам удалось скомпрометировать аккаунт ведущего разработчика библиотеки Axios в реестре npm и опубликовать две вредоносные версии пакета, распространявшие кроссплатформенный троян удалённого доступа. Заражённые релизы axios@1.14.1 и axios@0.30.4 были доступны для загрузки в течение двух-трёх часов. Эксперты по безопасности рекомендуют считать скомпрометированными все системы, на которых выполнялась установка этих версий.

 Источник изображения: AI

Источник изображения: AI

По сообщению Tom's Hardware, атака зафиксирована 30 марта и была реализована через скрытую зависимость plain-crypto-js@4.2.1, представляющую из себя поддельный пакет, замаскированный под легитимную библиотеку CryptoJS, реализующую набор стандартных криптографических алгоритмов на JavaScript.

При установке был запущен сценарий, который загружал вирус, адаптированный под операционные системы macOS, Windows и Linux. По данным аналитиков StepSecurity, вредоносный код связывался с управляющим сервером (sfrclak.com) всего через 1,1 секунды после начала установки npm-пакета.

На macOS троян сохранялся в /Library/Caches/com.apple.act.mond, на Windows — копировал PowerShell в %PROGRAMDATA%\wt.exe, на Linux — загружал Python-версию RAT в /tmp/ld.py. Отмечается, что поскольку данную библиотеку скачивают около 100 млн раз в неделю, инцидент создал угрозу для огромной аудитории.

Подготовка к атаке заняла около 18 часов, в течение которых хакеры загрузили чистую версию plain-crypto-js для создания истории публикаций, а затем заменили её на троян. После этого через взломанный аккаунт мейнтейнера Джейсона Сааймана (Jason Saayman) с разницей в 39 минут были опубликованы заражённые ветки самой библиотеки Axios. После успешного развёртывания скрипт автоматически удалял все следы своего присутствия, поэтому последующая визуальная проверка кода ничего подозрительного не показывала.

Заражённые версии пробыли в открытом доступе примерно три часа, после чего администрация npm удалила их и заблокировала вредоносную зависимость. Эти релизы публиковались в обход стандартного конвейера CI/CD, поэтому они так и не появились в официальном репозитории Axios на GitHub. Крупные IT-компании, включая Snyk, Wiz и Vercel, выпустили предупреждения с рекомендацией считать пострадавшие машины полностью скомпрометированными и немедленно сменить все учётные данные.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Microsoft станет реже пересматривать цены в местной валюте на облачные продукты 7 мин.
PayPal предложили купить за $53 миллиарда 59 мин.
Скоростной лыжный хоррор-шутер Dieathlon отправит игроков в смертельный слалом — первый трейлер и подробности 3 ч.
Разработчик Warhammer 40,000: Space Marine 3 и Jurassic Park: Survival доверил развитие бизнеса бывшему боссу Epic Games Store 5 ч.
Epic Games победила: Google впустит сторонние магазины приложений в «Play Маркет» уже 22 июля 6 ч.
Microsoft закрыла 570 дыр в Windows 11 и разрешила бесконечно откладывать обновления 6 ч.
Флагманская ИИ-модель OpenAI GPT-5.6 Sol стала самовольно удалять файлы пользователей 7 ч.
РТК-ЦОД сертифицировал инфраструктуру «Облака КИИ» по международному стандарту безопасности платежных карт PCI DSS 7 ч.
РТК-ЦОД сертифицировал инфраструктуру «Облака КИИ» по международному стандарту безопасности платежных карт PCI DSS 7 ч.
Жалуются, но всё равно покупают: скандальные DLC для Assassin’s Creed Black Flag Resynced стали хитом продаж 8 ч.
Palit представила видеокарту GeForce RTX 3060 Infinity 2 OC на пятилетнем GPU 4 мин.
Бум ИИ разгонит рынок оборудования для выпуска чипов до рекордных $230 млрд к 2028 году 8 мин.
В обход FLAPD: Pure DC запустит в Финляндии 550-МВт ИИ ЦОД стоимостью €7,5 млрд 27 мин.
SpaceX выполнила 600-й повторный запуск первой ступени Falcon 9 в космос 55 мин.
Google призналась, что стоит за проектом гигаваттного ИИ ЦОД в Вайоминге, который будет потреблять больше энергии, чем все дома штата 2 ч.
Нью-Йорк стал первым штатом США, утвердившим временный мораторий на строительство ЦОД мощностью более 50 МВт 2 ч.
Россия и США договорились летать на МКС до 2030 года, обсудили координацию спутников и лунные программы 2 ч.
Топливный кризис ускорил внедрение электрических такси в Китае 2 ч.
Беспилотным тягачам поручат перевозку багажа в российских аэропортах 2 ч.
Samsung больше нечего скрывать: все новинки грядущей Galaxy Unpacked утекли в Сеть 5 ч.