Pesquisadores descobriu que versões comprometidas do Axios instalaram um Trojan de acesso remoto.
Axios é um cliente HTTP baseado em promessas para node.js, basicamente uma ferramenta auxiliar que os desenvolvedores usam nos bastidores para permitir que os aplicativos se comuniquem com a Internet. Por exemplo, o Axios torna solicitações como “receber minhas mensagens do servidor” ou “enviar este formulário para o site” mais fáceis e confiáveis para os programadores e evita que eles mesmos tenham que escrever muitos códigos de rede de baixo nível.
Como funciona tanto no navegador quanto em servidores (Node.js), muitos projetos modernos baseados em JavaScript o incluem como um bloco de construção padrão. Mesmo que você nunca instale o Axios, você poderá encontrá-lo indiretamente ao:
- Use aplicativos da web desenvolvidos com estruturas como React, Vue ou Angular.
- Use aplicativos móveis ou aplicativos de desktop desenvolvidos com tecnologias da web como Electron, React Native e outras.
- Visite ferramentas menores de software como serviço (SaaS), painéis de administração ou serviços auto-hospedados criados por desenvolvedores que escolheram o Axios.
Você poderia compará-lo com o encanamento de sua casa. Normalmente você não percebe os canos, mas eles levam a água até onde você abre a torneira. E você não precisa saber onde eles estão até que ocorra um vazamento.
O que aconteceu?
Usando credenciais comprometidas de um mantenedor líder do Axios, um invasor publicou pacotes envenenados no npm: axios@1.14.1 e axios@0.30.4. As versões maliciosas injetam uma nova dependência, plain-crypto-js@4.2.1que nunca é importado para nenhum lugar do código-fonte do axios.
Juntos, os dois pacotes afetados alcançam até 100 milhões de downloads semanais no npm, o que significa que tem um enorme raio de impacto em aplicativos web, serviços e pipelines.
É importante observar que a versão afetada do Axios não aparece nas tags oficiais do GitHub do projeto. Isso significa que as pessoas e projetos afetados são desenvolvedores e ambientes que executaram npm install que resolveram:
axios@1.14.1ouaxios@0.30.4ou- a dependência
plain-crypto-js@4.2.1.
Qualquer fluxo de trabalho que instalou uma dessas versões com scripts habilitados pode ter exposto todos os segredos injetados (chaves de nuvem, chaves de implantação de repositório, tokens npm, etc.) a um invasor interativo, porque o script pós-instalação (node setup.js) que é executado automaticamente na instalação do npm baixou um conta-gotas ofuscado que recupera uma carga RAT específica da plataforma para macOS, Windows ou Linux.
Se você é um desenvolvedor que está implantando o Axios, trate qualquer máquina que instalou as versões ruins como potencialmente totalmente comprometida e alterne os segredos. O invasor pode ter obtido acesso ao repositório, chaves de assinatura, chaves de API ou outros segredos que podem ser usados para fazer backdoor em versões futuras ou atacar seu back-end e seus usuários.
Os usuários de aplicativos desenvolvidos com Axios não têm nenhum motivo direto para se preocupar. Se você está apenas carregando seu aplicativo em um navegador, não está executando esse RAT diretamente via Axios. O caminho da infecção é a etapa de instalação/construção, não o tempo de execução do aplicativo.
Indicadores de Compromisso (IOCs)
Como os pesquisadores apontaram, o conta-gotas de malware se limpa:
“Qualquer inspeção pós-infecção de node_modules/plain-crypto-js/package.json mostrará um manifesto completamente limpo. Não há script pós-instalação, nenhum arquivo setup.js e nenhuma indicação de que algo malicioso tenha sido instalado. Executar a auditoria npm ou revisar manualmente o diretório do pacote instalado não revelará o comprometimento.”
O que você pode procurar, então, são estes IOCs:
Domínio: sfrclak(.)com
Endereço IP: 142.11.206.73
(ambos bloqueados por produtos Malwarebytes)
Arquivos:
- macOS: /Library/Caches/com.apple.act.mond
- Linux: /tmp/ld.py
- Windows: %PROGRAMDATA%wt e %TEMP%6202033.vbs/.ps1 que existem apenas brevemente durante a execução
Pacotes npm maliciosos:
axios@1.14.1 soma de verificação sha-256: 2553649f2322049666871cea80a5d0d6adc700ca
axios@0.30.4 soma de verificação sha-256: d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71
plain-crypto-js@4.2.1 soma de verificação sha-256: 07d889e2dadce6f3910dcbc253317d28ca61c766
Não apenas informamos ameaças: nós as removemos
Os riscos de cibersegurança nunca devem ultrapassar as manchetes. Mantenha as ameaças longe dos seus dispositivos baixando o Malwarebytes hoje mesmo.
Deseja saber mais sobre Segurança Digital & Antivírus Clique Aqui!
axios,cadeia de suprimentos
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.