Aanvallers wisten het account van de beheerder te kapen en twee kwaadaardige versies van het axios NPM-pakket te publiceren. Dit pakket biedt een HTTP-clientimplementatie voor browsers en Node.js. Het axios-pakket wordt wekelijks meer dan 100 miljoen keer gedownload en is een afhankelijkheid van 174.000 andere pakketten. De kwaadaardige wijzigingen werden in Axios 1.14.1 en 0.30.4 geïntegreerd door een dummy-afhankelijkheid genaamd plain-crypto-js 4.2.1 in te voegen. Deze afhankelijkheid bevatte code voor het laden van componenten die commando's ontvangen van de command-and-controlserver van de aanvallers. De kwaadaardige versies werden op 31 maart gedurende bijna drie uur aangeboden om te downloaden – van 03:21 tot 06:15 uur (Moskou-tijd).
Kwaadaardige versies werden rechtstreeks naar NPM gedistribueerd met behulp van de inloggegevens van de hoofdbeheerder van het axios-project ("jasonsaayman"), waarmee het standaard release-publicatiemechanisme via GitHub Actions werd omzeild. Vermoedelijk hebben de aanvallers het NPM-toegangstoken van de beheerder onderschept, vervolgens ingelogd op het account en het bijbehorende e-mailadres gewijzigd. De exacte methode voor het onderscheppen van het toegangstoken is onduidelijk.
Запускаемый вредоносный код размещался в пакете plain-crypto-js в файле setup.js, активировался после завершения установки NPM-пакета через обработчик postinstall (‘postinstall: «node setup.js»‘) и использовался для загрузки и установки трояна, поражающего системы с Windows, macOS и Linux. Для скрытия своего присутствия после запуска вредоносный компонент удалял файл setup.js и заменял package.json на вариант без postinstall-хука. 
В macOS вредоносный исполняемый файл загружался как «/Library/Caches/com.apple.act.mond», в Windows — «%PROGRAMDATA%\wt.exe», в Linux — «/tmp/ld.py,». После активации в Linux и macOS каждые 60 секунд на внешний server атакующих отправлялся запрос команд для исполнения на поражённой системе, которые могли использоваться для загрузки дополнительных вредоносных компонентов, выполнения произвольных shell-команд и поиска/отправки определённых файлов.
Вредоносная активность в Linux и macOS не предусматривала сохранение присутствия после перезагрузки и была рассчитана на быстрый сбор конфиденциальных данных, паролей, токенов и ключей доступа. В Windows создавался файл «%PROGRAMDATA%\system.bat», который извлекал вредоносный компонент с server Aanvallers bij elke inlogpoging.
Bron: opennet.ru
