TSTECH & SPACE
🇬🇧
Povratak
🇬🇧 EN
Tehnologijadb#2374

Axios kompromitiran: 100 milijuna preuzimanja tjedno s RAT-om

(3d ago)
Global
tomshardware.com
Axios kompromitiran: 100 milijuna preuzimanja tjedno s RAT-om

Axios kompromitiran: 100 milijuna preuzimanja tjedno s RAT-om📷 © Tech&Space

  • Dvije zaražene Axios verzije s kriptiranim RAT-om
  • 100 milijuna preuzimanja tjedno – svaki sustav kompromitiran
  • npm račun voditelja projekta preuzet za 18 sati

Dvije zaražene verzije Axiosa – axios@1.14.1 i axios@0.30.4 – objavljene su s npm računa voditelja projekta jasonsaayman, koji je bio kompromitiran 18 sati prije nego što je npm intervenirao. Maliciozni kod je ugrađivao skrivenu ovisnost plain-crypto-js@4.2.1, lažnu kopiju legitimne crypto-js biblioteke, koja je instalirala cross-platform Remote Access Trojan (RAT).

Prema podacima Snyk i StepSecurity, zaražene verzije su u prosjeku preuzimane svake 1,1 sekunde tijekom aktivnog perioda napada. Axios se koristi u milijunima projekata – od startupova do enterprise rješenja – što znači da je rizik širenja na produkcijske sustave izravan i masovan.

Napad nije bio sofisticiran u tehničkom smislu, već je iskoristio ljudski faktor: kompromitiran račun voditelja projekta. To postavlja pitanje koliko je npm ekosustav – koji se oslanja na dovjeru u pojedince umjesto na stroge sigurnosne protokole – ranjiv na slične napade u budućnosti.

Kompromitiran npm račun voditelja projekta ugrozio milijune korisnika i izazvao pitanja o sigurnosti ekosustava

Kompromitiran npm račun voditelja projekta ugrozio milijune korisnika i izazvao pitanja o sigurnosti ekosustava📷 © Tech&Space

Kompromitiran npm račun voditelja projekta ugrozio milijune korisnika i izazvao pitanja o sigurnosti ekosustava

Problem nije samo u samom trojancu, već u brzini reakcije. Iako je npm ugasio zaražene pakete za 2-3 sata od prijave, GitHub issue pokazuje da su neki korisnici i dalje izloženi riziku jer automatska ažuriranja nisu uvijek aktivirana, a ručna provjera ovisnosti rijetko je prioritet u brzim development ciklusima.

Pravi udarac ovdje nije samo na Axios, već na cijeli JavaScript ekosustav koji se oslanja na npm. Ako paket s 100 milijuna tjednih preuzimanja može biti kompromitiran tako jednostavno, što sprječava sličan scenario s React-om, Lodash-om ili Express-om? Wiz i Vercel već upozoravaju da bi ovaj incident mogao potaknuti masovnu migraciju na alternative kao što su fetch API ili ky, ali to rješenje nije realno za projekte koji ovise o Axiosovim specifičnim featureima – poput interceptor-a ili automatske transformacije podataka.

Za developere, ovo znači hitnu reviziju svih ovisnosti – ne samo Axiosa, već i svih paketa koji ga koriste kao dependency. StepSecurity preporučuje ne samo rotaciju svih kredencijala na kompromitiranim sustavima, već i potpunu izolaciju development okruženja dok se ne provede forenzička analiza. To nije samo IT problem, već poslovni rizik: ako je napad uspio proći neprimijećen 18 sati, koliko drugih ranjivosti ostaje neotkriveno?

Bez obzira na tehničke detalje, poruka je jasna: sigurnost u digitalnom prostoru ovisi o onima koji kontroliraju ključne infrastrukture. Ako se ništa ne promijeni, sljedeća žrtva mogla bi biti bilo koji od milijunima paketa koji pokreću web.

CybersecurityRAT MalwareInfrastructure Security

//Comments

Uredi u foto-review →
RoboticsBaidu robotaxis grounded: China’s traffic chaos exposes real-world limitsAIDisney’s $1B AI bet collapses before the first frameMedicineInflammation’s Epigenetic Scars May Linger, Raising Colon Cancer RiskAIMistral’s tiny speech model fits on a watch—so what?MedicineBrain aging’s genetic map: AI hype vs. Alzheimer’s realityAIPorn’s AI Clones Aren’t Immortal—Just Better PackagedMedicine$100M federal bet on joint regeneration—what the trials can (and can’t) proveAIGitHub’s Copilot data grab: opt-out or be trainedMedicineRNA Sequencing UnifiesAIAI’s dirty little secret: secure by default is a mythSpaceEarth Formed From Inner Solar SystemAI$70M for AI code verification—because shipping works, not just generating itSpaceYouTube’s AI cloning tool exposes a deeper problemAIAI traffic now outpaces humans—but who’s really winning?SpaceSmile Mission to X-Ray Earth’s Magnetic ShieldAIGemini Live’s voice downgrade: AI progress or collateral damage?SpaceGamma Cas’s X-Ray Mystery Solved After 40 YearsGamingNvidia’s AI art war: Why players are sharpening the pitchforksSpaceUK’s AI probe into Microsoft isn’t just about Windows—it’s about controlTechnologyLeaked iPhone hacking tool exposes Apple’s zero-click blind spotRoboticsBaidu robotaxis grounded: China’s traffic chaos exposes real-world limitsAIDisney’s $1B AI bet collapses before the first frameMedicineInflammation’s Epigenetic Scars May Linger, Raising Colon Cancer RiskAIMistral’s tiny speech model fits on a watch—so what?MedicineBrain aging’s genetic map: AI hype vs. Alzheimer’s realityAIPorn’s AI Clones Aren’t Immortal—Just Better PackagedMedicine$100M federal bet on joint regeneration—what the trials can (and can’t) proveAIGitHub’s Copilot data grab: opt-out or be trainedMedicineRNA Sequencing UnifiesAIAI’s dirty little secret: secure by default is a mythSpaceEarth Formed From Inner Solar SystemAI$70M for AI code verification—because shipping works, not just generating itSpaceYouTube’s AI cloning tool exposes a deeper problemAIAI traffic now outpaces humans—but who’s really winning?SpaceSmile Mission to X-Ray Earth’s Magnetic ShieldAIGemini Live’s voice downgrade: AI progress or collateral damage?SpaceGamma Cas’s X-Ray Mystery Solved After 40 YearsGamingNvidia’s AI art war: Why players are sharpening the pitchforksSpaceUK’s AI probe into Microsoft isn’t just about Windows—it’s about controlTechnologyLeaked iPhone hacking tool exposes Apple’s zero-click blind spot
⊞ Foto Review