Para penyerang bisa mbajak akun pengelola lan ngrilis rong versi jahat saka paket axios NPM, sing nyedhiyakake implementasi klien HTTP kanggo browser lan Node.js. Paket axios diunduh luwih saka 100 yuta kali saben minggu lan digunakake minangka dependensi dening 174.000 paket liyane. Owah-owahan jahat kasebut diintegrasikan menyang Axios 1.14.1 lan 0.30.4 kanthi nyisipake dependensi plain-crypto-js 4.2.1 dummy, sing ngemot kode kanggo mbukak komponen sing nampa printah saka server printah lan kontrol penyerang. Versi jahat kasebut ditawakake kanggo diunduh tanggal 31 Maret sajrone meh telung jam—saka jam 3:21 esuk nganti jam 6:15 esuk (wektu Moskow).
Versi jahat disebar langsung menyang NPM nggunakake kredensial pengelola utama proyek axios ("jasonsaayman"), ngliwati mekanisme penerbitan rilis berbasis GitHub Actions standar. Dipercaya para penyerang nyegat token akses NPM pengelola, banjur mlebu menyang akun lan ngganti alamat email sing ana gandhengane karo token kasebut. Cara sing tepat kanggo nyegat token akses ora jelas.
Kode jahat sing diluncurake dilebokake ing paket plain-crypto-js ing file setup.js, diaktifake sawise instalasi paket NPM rampung liwat handler postinstall ('postinstall: "node setup.js"') lan digunakake kanggo ndownload lan nginstal Trojan sing nginfeksi sistem nganggo Windows, macOS и LinuxKanggo ndhelikake anane sawise diluncurake, komponen jahat kasebut mbusak file setup.js lan ngganti package.json karo versi tanpa hook pascainstalasi. 
В macOS Eksekusi sing mbebayani diundhuh minangka "/Library/Caches/com.apple.act.mond", ing Windows — “%PROGRAMDATA%\wt.exe”, ing Linux — "/tmp/ld.py," Sawisé diaktifake ing Linux и macOS saben 60 detik menyang njaba server Para penyerang dikirimi panjalukan prentah kanggo dieksekusi ing sistem sing kena pengaruh, sing bisa digunakake kanggo ndownload komponen mbebayani tambahan, nglakokake prentah shell sing sembarangan, lan nggoleki/ngirim file tartamtu.
Aktivitas jahat ing Linux и macOS ora nyedhiyakake kanggo njaga anané sawisé reboot lan dirancang kanggo pangumpulan data rahasia, sandhi, token, lan kunci akses kanthi cepet. Windows File "%PROGRAMDATA%\system.bat" wis digawe, sing ngekstrak komponen jahat saka server penyerang ing saben login.
Source: opennet.ru
