Хакер взломал проект с открытым исходным кодом Axios, используемый миллионами, для распространения вредоносного ПО

Подробности

Хакер взломал и модифицировал популярный инструмент разработки программного обеспечения с открытым исходным кодом, чтобы доставить вредоносное ПО, которое может подвергнуть риску компрометации миллионы разработчиков.

В понедельник хакер распространил вредоносные версии широко используемой библиотеки JavaScript под названием Axios, на которую разработчики полагаются, чтобы позволить своему программному обеспечению подключаться к Интернету. Затронутая библиотека размещалась в npm — репозитории программного обеспечения, в котором хранится код для проектов с открытым исходным кодом. Axios загружают десятки миллионов раз каждую неделю.

По данным охранной компании StepSecurity, которая проанализировала атаку, захват был обнаружен и остановлен примерно за три часа в ночь с понедельника на вторник.

Хакеры все чаще нападают на разработчиков популярных проектов с открытым исходным кодом, пытаясь массово взломать любого, кто полагается на скомпрометированный код, потенциально предоставляя хакерам доступ к огромному количеству затронутых устройств. Подобные широко распространенные нарушения называются атаками на цепочку поставок, поскольку они нацелены на программное обеспечение, которое позволяет хакерам затем взломать любого, кто загрузил скомпрометированное программное обеспечение. В последние годы хакеры атаковали такие компании, как 3CX, Kaseya и SolarWinds, а также инструменты с открытым исходным кодом, такие как Log4j и Polyfill.io, чтобы атаковать большое количество их пользователей.

На данный момент неясно, сколько людей загрузили вредоносную версию Axios за этот период времени. Охранная компания Aikido, которая также расследовала инцидент, заявила, что любой, кто скачал код, «должен предполагать, что его система взломана».