Populární knihovna axios byla krátce kompromitována na npm. Útočník získal přístup k maintainer účtu a publikoval škodlivé verze:

• axios@1.14.1
• axios@0.30.4

Jak útok fungoval

Nešlo o přímou úpravu kódu axiosu, ale o supply chain attack přes závislosti:

1. Útočník přidal do balíčku novou závislost:
   • plain-crypto-js@4.2.1
2. Tento balíček obsahoval škodlivý postinstall script, který se automaticky spustí při npm install.
3. Script:
   • stáhne payload z externího serveru
   • spustí Remote Access Trojan (RAT)
   • funguje na Windows, macOS i Linuxu
4. Malware:
   • umožňuje vzdálený přístup k zařízení
   • může krást credentials, tokeny nebo SSH klíče
   • snaží se zahladit stopy po instalaci

Útok je nebezpečný hlavně proto, že se spustí automaticky při instalaci závislostí, bez nutnosti aplikaci vůbec spustit.

Dopad

Ohrožené jsou build servery, CI/CD pipeline i lokální dev prostředí. Také mohlo dojít k potencionálnímu úniku API klíčů, přístupových tokenů nebo interních dat.

Doporučení

• zkontrolovat verzi axiosu v projektu
• pokud máte 1.14.1 nebo 0.30.4:
  • okamžitě downgrade (1.14.0 / 0.30.3)
  • považujte systém za kompromitovaný
• dále:
  • rotate všechny credentials / secrets
  • zkontrolujte CI/CD (GitHub Actions, apod.)
  • rebuild čistého prostředí
  • projděte dependency lockfile

Pro detailnější zprávu: https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan