攻击者劫持了维护者的账户,并发布了两个恶意版本的 axios NPM 包。该包为浏览器和 Node.js 提供 HTTP 客户端实现。axios 包每周下载量超过 100 亿次,并被 174 万个其他包用作依赖项。恶意修改被集成到 Axios 1.14.1 和 0.30.4 版本中,方法是插入一个虚假的 plain-crypto-js 4.2.1 依赖项。该依赖项包含用于加载组件的代码,这些组件会接收来自攻击者命令与控制服务器的命令。恶意版本于 3 月 31 日凌晨 03:21 至 6:15(莫斯科时间)期间提供下载,持续了近三个小时。
恶意版本直接使用 axios 项目主要维护者(“jasonsaayman”)的凭据部署到 NPM,绕过了基于 GitHub Actions 的标准发布机制。据信,攻击者截获了维护者的 NPM 访问令牌,然后登录该帐户并更改了与其关联的电子邮件地址。截获访问令牌的具体方法尚不清楚。
恶意代码被放置在 plain-crypto-js 包的 setup.js 文件中,在 NPM 包安装完成后通过 postinstall 处理程序('postinstall: "node setup.js"')激活,并用于下载和安装一个木马程序,该程序会感染系统。 Windows, macOS и Linux为了在启动后隐藏自身存在,恶意组件删除了 setup.js 文件,并将 package.json 替换为没有 postinstall hook 的版本。 
В macOS 恶意可执行文件被下载到“/Library/Caches/com.apple.act.mond”目录下。 Windows — “%PROGRAMDATA%\wt.exe”,在 Linux — "/tmp/ld.py", 激活后 Linux и macOS 每隔60秒向外辐射 服务器 攻击者收到请求,要求在受影响的系统上执行命令,这些命令可用于下载其他恶意组件、执行任意 shell 命令以及搜索/发送特定文件。
恶意活动 Linux и macOS 它不提供重启后保持在线状态的功能,并且设计用于快速收集机密数据、密码、令牌和访问密钥。 Windows 创建了文件“%PROGRAMDATA%\system.bat”,该文件提取了恶意组件。 伺服器 攻击者每次登录都会发起攻击。
来源: opennet.ru
