Axios взломан: npm-пакет распространял кроссплатформенную малварь через скомпрометированный аккаунт мейнтейнера

Популярный npm-пакет Axios, ключевой HTTP-клиент для JavaScript, стал жертвой целенаправленной атаки на цепочку поставок. Злоумышленники получили контроль над npm-аккаунтом основного сопровождающего проекта и использовали его для публикации вредоносных версий библиотеки. Эти версии автоматически устанавливали на машины разработчиков троян удаленного доступа (RAT), способный работать на всех основных операционных системах — Windows, macOS и Linux.

Атака демонстрирует классический, но крайне опасный вектор: компрометация учетной записи мейнтейнера, чья репутация и права на публикацию не вызывают подозрений у систем автоматического обновления и разработчиков. Вредоносный код был внедрен непосредственно в официальные сборки пакета, распространяемые через центральный реестр npm. Это не единичный взлом сайта или подделка домена, а прямое нарушение самого доверенного канала поставки кода для миллионов проектов.

Инцидент создает серьезные риски для безопасности всей экосистемы Node.js и JavaScript, где Axios является одним из наиболее зависимых пакетов. Зараженные рабочие станции разработчиков могли стать точкой входа для дальнейших атак на внутренние сети компаний и исходный код коммерческих продуктов. Ситуация требует немедленной проверки окружений разработки, отката к чистым версиям и пересмотра практик управления доступом для сопровождающих критически важных open-source проектов.