Napad na Axios ubacio zlonamernu zavisnost u široko korišćeni npm paket
Napadač je kompromitovao npm nalog jednog od održavalaca axios biblioteke i objavio zaražene verzije paketa koje su povlačile zlonamernu zavisnost plain-crypto-js. Istraživači navode da je ta komponenta služila kao dropper za backdoor Waveshaper.v2 na Windows, Linux i macOS sistemima. Sporne verzije su uklonjene posle nekoliko sati, ali zbog ogromne rasprostranjenosti axios paketa posledice mogu biti široke.
Pojašnjenje
Problem kod ovakvog incidenta nije samo u jednoj biblioteci, već u tome što se kompromitacija širi kroz lance zavisnosti koje mnoge firme ni ne prate do kraja. Kad se zaražen paket provuče kroz build ili CI okruženje, posledice se mogu preliti na veliki broj sistema pre nego što iko primeti da je nešto pošlo naopako.
Preporuke
- Proveriti da li su u okruženju korišćene kompromitovane axios verzije i odmah ih ukloniti
- Pregledati build, CI i developerske sisteme koji su mogli povući zaraženi paket
- Rotirati kredencijale i tokene dostupne iz pogođenih razvojnih okruženja
- Uvesti strožu kontrolu npm zavisnosti, zaključavanje verzija i proveru integriteta paketa
- Pratiti indikatore kompromitacije vezane za plain-crypto-js i Waveshaper.v2