Атака на axios в npm: захват аккаунта мейнтейнера угрожает миллионам JavaScript-проектов

Одна из самых популярных HTTP-библиотек в экосистеме JavaScript, axios, стала целью целенаправленной атаки на цепочку поставок. Исследователи StepSecurity сообщили о компрометации аккаунта ведущего мейнтейнера проекта в реестре npm. Используя захваченный доступ, злоумышленник опубликовал две вредоносные версии пакета: [email protected] и [email protected]. Эти версии, маскирующиеся под обычные обновления, при установке могли загружать на систему троян удалённого доступа, предоставляя атакующему полный контроль.

Угроза носит массовый характер из-за колоссальной распространённости axios, который еженедельно скачивается около 83 миллионов раз. Инцидент демонстрирует критическую уязвимость всей экосистемы open source, где безопасность миллионов проектов зависит от безопасности личных аккаунтов отдельных мейнтейнеров. Атака была не на код, а на человека, что делает подобные угрозы особенно изощрёнными и трудноотслеживаемыми.

Этот случай ставит под сомнение текущие модели безопасности в сообществе npm и служит жёстким предупреждением для всех, кто использует внешние зависимости. Разработчикам необходимо срочно проверить свои проекты на наличие скомпрометированных версий и пересмотреть подходы к управлению доступом для ключевых maintainers. Инцидент с axios может стать катализатором для ужесточения политик публикации пакетов и внедрения обязательной двухфакторной аутентификации для владельцев популярных репозиториев.