Как один из самых популярных инструментов интернета оказался под контролем хакеров — и никто сразу не заметил

Атака на одну из самых востребованных библиотек с открытым исходным кодом оказалась гораздо сложнее, чем казалось сначала. По данным аналитиков, злоумышленники, предположительно связанные с Северной Кореей, готовили операцию заранее — задолго до того, как вредоносный код появился в системе.

Речь идёт о JavaScript-библиотеке Axios — инструменте, который используется разработчиками по всему миру для работы с интернет-запросами и скачивается десятки миллионов раз еженедельно.

Атака не была случайной

Исследователи пришли к выводу, что взлом не был импульсивным. Напротив, он развивался поэтапно и, вероятно, готовился неделями:

• хакеры сначала получили доступ к аккаунту сопровождающего проекта;
• затем выждали момент, чтобы внедрить вредоносные версии пакета;
• после этого обновления были распространены среди пользователей.

Такая последовательность действий указывает на продуманную стратегию, а не на разовую попытку взлома.

Как работала схема

Получив контроль над аккаунтом разработчика, злоумышленники опубликовали несколько заражённых версий библиотеки:

• вредоносный код распространялся через официальное хранилище npm;
• заражённые пакеты могли устанавливать программы для кражи данных;
• под угрозой оказались все, кто успел скачать обновления.

Хотя вредоносные версии оставались доступными всего несколько часов, этого оказалось достаточно, чтобы создать потенциальную угрозу для большого числа систем.

Почему последствия могут быть масштабными

Главная проблема — в самой природе open-source экосистемы. Axios используется не только напрямую, но и как зависимость в других проектах. Это означает, что заражение могло распространиться цепной реакцией:

• через сторонние библиотеки;
• через корпоративные системы;
• через облачные сервисы.

Эксперты предупреждают, что подобные атаки способны затронуть тысячи компаний и привести к утечке данных, вымогательству или новым взломам.

Цели злоумышленников

Аналитики связывают атаку с группировкой, которая ранее уже была замечена в операциях против криптовалютных и финансовых проектов. Отмечается, что подобные кампании часто направлены на:

• кражу учётных данных;
• получение доступа к корпоративным системам;
• финансовую выгоду, включая криптовалюты.

При этом используемые методы и инструменты совпадают с ранее зафиксированными действиями северокорейских хакеров.

Уязвимость всей системы

Инцидент вновь показал слабое место современной разработки — доверие к сторонним пакетам. Автоматическая установка зависимостей и отсутствие строгой проверки кода значительно упрощают злоумышленникам задачу. Даже кратковременный доступ к популярному проекту может обернуться глобальными последствиями.