Biblioteca open‑source Axios, folosită de milioane de dezvoltatori, compromisă de un hacker pentru distribuirea de malware

Un hacker a deturnat și modificat un instrument popular de dezvoltare software open-source, transformându-l într-un vector de distribuire a unui malware care ar putea expune milioane de dezvoltatori riscului de compromitere a sistemelor lor.

Luni, un atacator a publicat versiuni malițioase ale bibliotecii JavaScript foarte utilizate numită Axios, pe care dezvoltatorii se bazează pentru a permite aplicațiilor lor să se conecteze la internet. Biblioteca afectată era găzduită pe depozitul de pachete npm, care stochează cod pentru proiecte open-source. Axios este descărcată de zeci de milioane de ori în fiecare săptămână.

Potrivit companiei de securitate StepSecurity, care a analizat incidentul, compromiterea a fost depistată și oprită în aproximativ trei ore, în noaptea de luni spre marți.

Tot mai des, hackerii vizează dezvoltatorii proiectelor open-source populare pentru a realiza atacuri la scară largă asupra tuturor celor care se bazează pe codul compromis. Acest tip de breșă extinsă este cunoscut drept atac de tip „supply chain”, deoarece țintește o verigă din lanțul de aprovizionare software și le permite atacatorilor să compromită pe oricine a descărcat ulterior acel pachet infectat. În ultimii ani au fost vizate companii ca 3CX, Kaseya sau SolarWinds, dar și instrumente open-source precum Log4j și Polyfill.io, tocmai pentru a ajunge la un numar cât mai mare de utilizatori.

Deocamdată nu este clar câte persoane au descărcat versiunea malițioasă a Axios în intervalul în care aceasta a fost disponibilă. Firma de securitate Aikido, care a investigat la rândul ei incidentul, a avertizat că oricine a descărcat codul „should assume their system is compromised”.

Hackerul a reușit să insereze cod malițios în Axios după ce a compromis contul unuia dintre principalii dezvoltatori ai proiectului, care avea drepturi de a publica actualizări. Atacatorul a înlocuit adresa de e-mail legitimă a dezvoltatorului din cont cu propria adresă, ceea ce a îngreunat recuperarea accesului de către proprietarul real al contului.

După ce a preluat controlul, hackerul a introdus un cod malițios conceput să livreze un remote access trojan (RAT), adică un tip de malware capabil să ofere atacatorilor control total, de la distanță, asupra computerului victimei. Ulterior, a fost împinsă spre utilizatori o nouă versiune de Axios, prezentată ca un update legitim pentru sistemele Windows, macOS și Linux.

Conform cercetătorilor în securitate cibernetică, atacatorii au proiectat atât malware-ul, cât și o parte din codul de livrare, astfel încât să se șteargă automat după instalare, pentru a se ascunde de motoarele anti-malware și de anchetatori.