攻撃者は、ブラウザと Node.js 用の HTTP クライアント実装を提供する axios NPM パッケージの、管理者のアカウントを乗っ取り、悪意のあるバージョンを 2 つリリースすることに成功しました。axios パッケージは週に 1 億回以上ダウンロードされ、174,000 個の他のパッケージの依存関係として使用されています。悪意のある変更は、攻撃者のコマンド アンド コントロール サーバーからコマンドを受け取るコンポーネントをロードするコードを含むダミーの plain-crypto-js 4.2.1 依存関係を挿入することで、Axios 1.14.1 と 0.30.4 に組み込まれました。悪意のあるバージョンは、3 月 31 日の午前 3 時 21 分から午前 6 時 15 分 (モスクワ時間) までの約 3 時間にわたってダウンロード可能でした。
悪意のあるバージョンは、axiosプロジェクトのメインメンテナー(「jasonsaayman」)の認証情報を使用してNPMに直接デプロイされ、標準的なGitHub Actionsベースのリリース公開メカニズムを回避しました。攻撃者はメンテナーのNPMアクセストークンを傍受し、アカウントにログインして関連付けられたメールアドレスを変更したと考えられています。アクセストークンを傍受した正確な方法は不明です。
悪意のあるコードは、plain-crypto-js パッケージの setup.js ファイルに配置され、NPM パッケージのインストール完了後に postinstall ハンドラ ('postinstall: "node setup.js"') を介してアクティブ化され、Windows、macOS、および Linux システムに感染するトロイの木馬をダウンロードしてインストールするために使用されました。実行後にその存在を隠蔽するため、悪意のあるコンポーネントは setup.js ファイルを削除し、package.json を postinstall フックのないバージョンに置き換えました。 
macOSでは、悪意のある実行ファイルは「/Library/Caches/com.apple.act.mond」として、Windowsでは「%PROGRAMDATA%\wt.exe」として、Linuxでは「/tmp/ld.py」としてダウンロードされました。LinuxとmacOSでアクティブ化されると、影響を受けたシステム上で実行するために、60秒ごとに攻撃者の外部サーバーにコマンド要求が送信されました。これらのコマンドは、追加の悪意のあるコンポーネントをダウンロードしたり、任意のシェルコマンドを実行したり、特定のファイルを検索/送信したりするために使用されました。
Linux および macOS 上の悪意のある活動は、再起動後も継続するようには設計されておらず、機密データ、パスワード、トークン、およびアクセスキーを迅速に収集するように設計されていました。Windows では、「%PROGRAMDATA%\system.bat」というファイルが作成され、そこから悪意のあるコンポーネントが抽出されました。 サーバー ログインするたびに攻撃者が待ち構えている。
出所: オープンネット.ru
