بحران در دنیای جاوا اسکریپت؛ کتابخانه پرکاربرد Axios به بدافزار آلوده شد

یک حمله زنجیره تأمین اکوسیستم جاوا اسکریپت را هدف قرار داد. مهاجمان با نفوذ به حساب npm (یکی از نگهدارندگان کتابخانه محبوب Axios) نسخه‌های مخربی از آن را منتشر کردند که از طریق یک وابستگی جعلی، تروجان دسترسی از راه دور را روی سیستم توسعه‌دهندگان نصب می‌کرد.

طبق گزارش شرکت امنیتی StepSecurity، در تاریخ ۳۰ مارس یک مهاجم توانست حساب npm یکی از نگهدارندگان اصلی کتابخانه محبوب Axios را هک کرده و از آن برای انتشار دو نسخه مخرب از این کتابخانه استفاده کند. این نسخه‌های آلوده شامل axios@1.14.1 و axios@0.30.4 هستند و یک وابستگی پنهان به پروژه اضافه می‌کردند. این وابستگی نیز در مرحله بعد به طور مخفیانه یک تروجان دسترسی از راه دور (RAT) را روی سیستم توسعه‌دهندگان نصب می‌کرد.

کتابخانه Axios در npm حدود 100 میلیون بار در هفته دانلود می‌شود. به عبارت دیگر، هکرها توانسته‌اند به یکی از پرکاربردترین و محبوبترین کتابخانه‌های جاوا اسکریپت نفوذ کرده و نسخه‌های مخربی از آن را منتشر کنند.

نسخه‌های مخرب این کتابخانه در فضای مجازی منتشر شد

در هر دو نسخه مخرب، تنها یک وابستگی جدید به فایل manifest اضافه شده بود. این پکیج در واقع یک تروجان بود که خود را شبیه کتابخانه معتبر crypto-js نشان می‌داد. این وابستگی در هیچ بخشی از کد منبع Axios استفاده نشده بود و تنها وظیفه آن اجرای یک اسکریپت postinstall بود، که پس از نصب اجرا می‌شد.

این اسکریپت پس از نصب با یک سرور فرماندهی (C2) به آدرس sfrclak.com ارتباط برقرار کرده و یک بدافزار متناسب با سیستم‌عامل کاربر دانلود می‌کند. در مرحله بعد تمام ردپای خودش را حذف می‌کند تا از رهگیری و شناسایی احتمالی توسط کاربر جلوگیری شود.

تحلیل StepSecurity نشان داد که این بدافزار تنها ۱.۱ ثانیه پس از اجرای دستور npm install اولین ارتباط خود با سرور فرماندهی را برقرار می‌کند.

پس از اجرای بدافزار، فایل setup.js خود را حذف می‌کرد، فایل package.json حاوی اسکریپت مخرب را پاک می‌کرد و آن را با نسخه‌ای تمیز که شماره نسخه متفاوتی داشت جایگزین می‌کرد. در نتیجه اگر بعداً کسی پکیج نصب‌شده را بررسی می‌کرد، هیچ نشانه مشکوکی دیده نمی‌شد.

در همین رابطه بخوانید:

– چطور بدون نصب آنتی ویروس، امنیت سیستم را حفظ کنیم؟
– راهکارهای افزایش امنیت اطلاعات کامپیوتر + اشتباهات رایج

این نسخه‌های مخرب حدود دو تا سه ساعت در npm در دسترس بودند تا اینکه حذف شدند و پکیج plain-crypto-js نیز تحت محدودیت امنیتی قرار گرفت. این نسخه‌ها همچنین در تگ‌های GitHub پروژه Axios دیده نمی‌شوند که نشان می‌دهد مستقیماً در npm registry منتشر شده‌اند و از مسیر معمول CI/CD پروژه عبور نکرده‌اند.

شرکت‌های امنیتی StepSecurity، Snyk، Wiz و Vercel هشدار داده‌اند که هر سیستمی که این نسخه‌های مخرب روی آن اجرا شده باشد باید کاملاً آلوده در نظر گرفته شده و تمام اعتبارنامه‌ها و کلیدهای دسترسی آن‌ها فوراً تغییر داده شوند. پیگیری این حادثه در گیت‌هاب با شناسه axios/axios#10604 انجام می‌شود.