Η Επίθεση στο Axios: Μια Σημαντική Υπόθεση Ασφάλειας
Στις 30 Μαρτίου 2026, το δημοφιλές πακέτο JavaScript Axios έγινε στόχος μιας συντονισμένης κυβερνοεπίθεσης, που οδήγησε στη διανομή κακόβουλου λογισμικού σε παραλλαγές υπολογιστικών συστημάτων όπως Windows, macOS και Linux. Με περισσότερες από 100 εκατομμύρια λήψεις εβδομαδιαίως, το Axios ήταν ιδανικός στόχος για τους εισβολείς, καθιστώντας αυτή την επίθεση μια από τις πιο σοβαρές στην ιστορία των αλυσίδων εφοδιασμού.
Πώς Συντελέστηκε η Επίθεση
Η επίθεση ξεκίνησε όταν ο εισβολέας απέκτησε πρόσβαση στον λογαριασμό npm του Jason Saayman, του κύριου συντηρητή του Axios. Μέσω μιας διαδικασίας κλοπής, το email του λογαριασμού μεταφέρθηκε σε μια διεύθυνση ProtonMail, δίνοντας στον εισβολέα πλήρη δικαιώματα διαχειριστή. Αυτός ο έλεγχος της ταυτότητας дозволούσε στον εισβολέα να δημοσιεύσει κακόβουλες εκδόσεις του Axios — συγκεκριμένα, τις [email protected] και [email protected].
Οι εν λόγω εκδόσεις δεν είχαν καμία αντίστοιχη δέσμευση, ετικέτα ή δημοσίευση στο αποθετήριο GitHub του Axios, κάτι που εγείρει σοβαρά ερωτήματα για τις διαδικασίες ελέγχου και την ασφάλεια των κρίσιμων εξαρτήσεων του λογισμικού.
Ανάλυση της Επίθεσης από την Trend Micro
Η Trend Micro, γνωστή για την έρευνά της στον τομέα της κυβερνοασφάλειας, πραγματοποίησε συστηματική διερεύνηση της υπόθεσης, αποκαλύπτοντας ότι οι κακόβουλες εκδόσεις είχαν ήδη επηρεάσει οργανισμούς σε τομείς όπως η κυβέρνηση, τα οικονομικά και η υγειονομική περίθαλψη.
Νέες Κακόβουλες Εξαρτήσεις και Μηχανισμοί Επίθεσης
Κάθε δηλητηριασμένη έκδοση περιλάμβανε την εξάρτηση [email protected], μια φανταστική εξάρτηση που τέθηκε αποκλειστικά για να προσφέρει έναν μηχανισμό επίθεσης. Αυτή η εξάρτηση είχε σχεδιαστεί ώστε να ενεργοποιεί ένα αυτόματο άγκιστρο κατά την εγκατάσταση, εγκαθιστώντας έτσι ένα Trojan Remote Access Tool (RAT).
Μόλις αυτό το άγκιστρο ενεργοποιούνταν, μπορούσε να εγκατάσταθεί ένα δωρεάν επιβλαβές λογισμικό στο μηχάνημα του θύματος και να διαγράφει τα στοιχεία του, κρύβει έναν εαυτό του που θα έδινε την εντύπωση ότι όλα λειτουργούσαν κανονικά.
Η Ροή Μόλυνσης
.webp.jpeg)
Μηχανισμοί Ξεφύγασης και Υποδομή Υποστήριξης
Ο εισβολέας χρησιμοποιούσε μια πολυδιάστατη προσέγγιση για να αποφύγει τον εντοπισμό, παραμένοντας ανώνυμος μέσω μιας προσωρινής υποδομής που δημιουργήθηκε μόνο για την επίθεση. Η εκτέλεση του κακόβουλου λογισμικού γινόταν αποκλειστικά στη μνήμη, χωρίς να αφήνει ίχνη στο δίσκο.
Στρατηγικές Ανίχνευσης και Πρόληψης
Προγραμματιστές που υπέστησαν εγκατάσταση των κακόβουλων εκδόσεων θα πρέπει αμέσως να επιστρέψουν στην προηγούμενη σταθερή έκδοση ([email protected] ή [email protected]) και να διαγράψουν οποιονδήποτε φάκελο που σχετίζεται με την ύποπτη εξάρτηση.
- Ανακατασκευή των συστημάτων από γνωστές-καλές καταστάσεις αντί για καθαρισμό.
- Εναλλαγή όλων των διαπιστευτηρίων που ενδέχεται να επηρεάστηκαν κατά τη διάρκεια της επίθεσης.
- Χρήση της εντολής npm ci —ignore-scripts στα CI/CD pipelines για αποτροπή εκτέλεσης κακόβουλων scripts.
- Καταγραφή και μπλοκάρισμα του sfrclak[.]com στο επίπεδο του δικτύου.
Η έξυπνη ασφαλιστική προσέγγιση και η κατανόηση της αλυσίδας επίθεσης μπορούν να προστατεύσουν τις υποδομές μας από αντίστοιχες κυβερνοεπιθέσεις στο μέλλον.