Los atacantes lograron secuestrar la cuenta del mantenedor y publicar dos versiones maliciosas del paquete NPM axios, que proporciona una implementación de cliente HTTP para navegadores y Node.js. El paquete axios se descarga más de 100 millones de veces por semana y es utilizado como dependencia por otros 174.000 paquetes. Los cambios maliciosos se integraron en Axios 1.14.1 y 0.30.4 insertando una dependencia ficticia plain-crypto-js 4.2.1, que contenía código para cargar componentes que reciben comandos del servidor de comando y control de los atacantes. Las versiones maliciosas estuvieron disponibles para su descarga el 31 de marzo durante casi tres horas, desde las 3:21 a. m. hasta las 6:15 a. m. (hora de Moscú).
Se implementaron versiones maliciosas directamente en NPM utilizando las credenciales del principal responsable del proyecto axios ("jasonsaayman"), eludiendo el mecanismo estándar de publicación de versiones basado en GitHub Actions. Se cree que los atacantes interceptaron el token de acceso de NPM del responsable, iniciaron sesión en la cuenta y modificaron la dirección de correo electrónico asociada. Se desconoce el método exacto para interceptar el token de acceso.
El código malicioso que se ejecutó se colocó en el paquete plain-crypto-js en el archivo setup.js, se activó después de que se completó la instalación del paquete NPM a través del controlador postinstall ('postinstall: "node setup.js"') y se utilizó para descargar e instalar un troyano que infecta los sistemas con Windows, macOS и LinuxPara ocultar su presencia tras el lanzamiento, el componente malicioso eliminó el archivo setup.js y reemplazó package.json por una versión sin un gancho postinstall. 
В macOS El ejecutable malicioso se descargó como "/Library/Caches/com.apple.act.mond", en Windows — “%PROGRAMDATA%\wt.exe”, en Linux — "/tmp/ld.py," Después de la activación en Linux и macOS cada 60 segundos hacia el exterior servidor Los atacantes recibieron una solicitud de comandos para ejecutar en el sistema afectado, los cuales podrían utilizarse para descargar componentes maliciosos adicionales, ejecutar comandos de shell arbitrarios y buscar/enviar archivos específicos.
Actividad maliciosa en Linux и macOS No contemplaba la posibilidad de mantener la presencia tras un reinicio y estaba diseñado para la recopilación rápida de datos confidenciales, contraseñas, tokens y claves de acceso. Windows Se creó el archivo "%PROGRAMDATA%\system.bat", que extrajo el componente malicioso de servidor atacantes en cada inicio de sesión.
Fuente: opennet.ru
