В понедельник неизвестный злоумышленник разместил в публичном репозитории npm поддельные версии популярной JavaScript‑библиотеки Axios, используемой десятками миллионов разработчиков для сетевых запросов. Вредоносный код внедрял remote access trojan, который после установки автоматически удалялся, пытаясь скрыться от антивирусов.
Что произошло
Атака обнаружили через три часа после публикации. Хакер получил доступ к учётной записи одного из основных разработчиков проекта, заменил привязанную к ней e‑mail и загрузил обновления, выглядящие как официальные версии для Windows, macOS и Linux.
Почему это важно
Google связывает инцидент с группой UNC1069, известной своей экспертизой в supply‑chain атаках и кражах криптовалют. Подобные случаи, включая SolarWinds и Log4j, показали, что компрометация открытого кода может привести к масштабному компрометированию систем по всему миру. Разработчикам рекомендуется пересмотреть практики управления доступом к репозиториям и внедрить автоматизированные проверки кода.
Что дальше
Компания StepSecurity и сервисы расследования Aikido советуют всем, кто скачал обновлённый пакет, считать свои системы потенциально заражёнными и провести полное сканирование.