Хакеры против программистов

Одна из самых популярных библиотек JavaScript, пакет Axios, была атакована хакерами. Как пишет Tom’s Hardware, киберпреступники взломали личный профиль одного из мейнтейнеров этого проекта и опубликовали от его имени вредоносные версии этой библиотеки в репозитории npm.

Под угрозой десятки миллионов программистов. Согласно рейтингу Tiobe за март 2026 г., JavaScript находится на шестом месте среди самых популярных языков программирования. Что касается библиотеки Axios, то в менеджере пакетов npm у нее около 100 млн загрузок в неделю.

Хакеры выложили сразу два зараженных релиза это пакета – axios@1.14.1 и axios@0.30.4. В каждый их них была внедрена скрытая зависимость, которая незаметно устанавливает кроссплатформенный троян удаленного доступа на машины разработчиков под управлением macOS, Windows и Linux.

Обе вредоносные версии добавили в манифест пакета одну новую зависимость: plain-crypto-js@4.2.1, специально созданный троян, замаскированный под легитимную библиотеку crypto-js. Этот пакет никогда не импортировался и не упоминался нигде в исходном коде Axios. Его единственная функция заключалась в выполнении скрипта postinstall, который связывался с сервером управления и контроля по адресу sfrclak.com, загружал вредоносное ПО, а затем уничтожал все следы своего выполнения.

Как так вышло

Атаку на Axios выявили специалисты StepSecurity – платформы для защиты цепочки поставок программного обеспечения от атак. Они обнаружили, что хакерам не пришлось взламывать профиль самого проекта на GitHub – они влезли в аккаунт одного и главных сопровождающих проекта и выложили зараженные сборки библиотеки от его имени.

Этот шаг был предпринят, по всей видимости, намеренно. Проникновение в проект через профиль одного из мейнтейнеров усыпило бдительность алгоритмов безопасности для проверки публикаций. Хакеры получили все права сопровождающего проекта, который может выкладывать сборки самостоятельно, так как является доверенным участником.

Словно ниндзя

Зараженная библиотека после запуска скачивает на компьютер жертвы вредоносное ПО, а после выполняет ряд действий, чтобы никто не догадался о том, что библиотека Axios заражена. Скрипт удаляет все следы своей активности и даже внедряет чистый файл package.json, будто ничего и не было.

Специалисты StepSecurity выявили, то зараженная библиотека – это кладезь технологий маскировки вредоносного ПО. В частности, необходимые компоненты она скрывает в папках, предназначенных для временных файлов, а требуемые команды выполняет не на устройстве, а на хосте. Помимо этого, деобфускация кода применяется исключительно во время выполнения скрипта.

К моменту выхода материала не было достоверно известно, сколько человек запустили на своих ПК зараженную библиотеку. Как пишет Tom’s Hardware, вредоносные версии Axios оставались активными примерно два-три часа после публикации, а затем npm удалил их.

Не первый раз

Хакеры, по-видимому, хотят насолить как можно большему числу разработчиков на JavaScript, поскольку регулярно устраивают атаки на них. В июне 2025 г. CNews освещал историю внедрения вредоносного ПО сразу в несколько пакетов в репозитории npm.

Заражены были пакеты Gluestack @react-native-aria с общим количеством еженедельных скачиваний - свыше 1 млн. Самыми популярными являются interactions, utils (aria) и focus – от 100 до 125 тыс. скачиваний.

Началось все 6 июня 2025 г., когда в npm была подгружена новая версия пакета @react-native-aria/focus. После этого 17 из 20 пакетов Gluestack были скомпрометированы в течение двух суток.

Геннадий Ефремов

Короткая ссылка