31 марта 2026 года популярный npm-пакет Axios стал эпицентром масштабной атаки, затронувшей миллионы загрузок и едва ли не половину компаний из списка Fortune 500. Взлом аккаунта ведущего мейнтейнера позволил злоумышленникам внедрить вредоносный код в версии 1.14.1 и 0.30.4. Вся операция — от публикации до заметания следов — заняла меньше трех часов, что помогло хакерам проскользнуть мимо радаров большинства систем мониторинга.
Механика атаки: невидимость и автоматизация
Хакеры сделали ставку на автоматику: благодаря семантическому версионированию в файлах package.json, CI/CD-конвейеры по всему миру сами подтягивали отравленные обновления. Самое интересное скрывалось в деталях — в коде самого Axios не было ни одной подозрительной строки. Вместо этого злоумышленники добавили зависимость plain-crypto-js, которая мимикрировала под обычную библиотеку. Вредоносная логика запускалась через postinstall-хуки, активируя выполнение кода всего через пару секунд после команды npm install.
Чтобы не оставить улик, малварь действовала по принципу «чистой комнаты». Сразу после загрузки основного модуля дроппер стирал себя с диска и подменял метаданные в package.json на безобидную заглушку. На Unix-системах вредонос использовал файловые дескрипторы, продолжая работать в памяти даже после удаления исполняемого файла. В итоге защитные сканеры рапортовали о полной безопасности системы, пока процесс кражи данных шел полным ходом.
Таргетирование платформ и обход защиты
Кампанию отличала филигранная работа с разными ОС. Для macOS подготовили бинарный файл на C++, который прописывался в системе через LaunchAgents и обходил защиту SIP, используя кэш-директории. В Linux-контейнерах работал компактный Python-скрипт для мгновенного сбора переменных окружения. На Windows же ставку сделали на безфайловый загрузчик PowerShell: он использовал.NET-рефлексию для инъекции кода прямо в память, минуя антивирусы и EDR-решения.
Под удар попали не только серверы, но и личные компьютеры программистов. Через методы социальной инженерии хакеры проникали на рабочие станции и воровали сессионные токены из файлов.npmrc или браузерных куки. Это позволяло обходить даже аппаратную двухфакторную аутентификацию, так как атакующие использовали уже подтвержденные сессии.
Атрибуция и последствия
Ведущие ИТ-гиганты и эксперты по кибербезопасности связывают инцидент с северокорейской группировкой, известной как Sapphire Sleet (подразделение BlueNoroff) или Stardust Chollima. Главным мотивом была финансовая выгода. Вредонос охотился за SSH-ключами, секретами CI/CD и доступами к облачным сервисам, чтобы добраться до криптовалютных бирж и DeFi-платформ. Любопытно, что в трафике обнаружили устаревший User-Agent от Internet Explorer 8 — это могло быть как небрежностью, так и попыткой запутать аналитиков.
Чтобы купировать угрозу, компаниям недостаточно просто проверить lock-файлы. Специалисты советуют детально изучить логи серверов сборки и немедленно сменить все секреты и API-ключи, если в проектах мелькали версии Axios 1.14.1 или 0.30.4. Этот случай вновь показал, насколько уязвимы цепочки поставок ПО: всего пары часов в реестре достаточно, чтобы скомпрометировать глобальную ИТ-инфраструктуру.
