De aanvaller heeft het langlevende npm-toegangstoken van de primaire beheerder gestolen axiode meest populaire HTTP-clientbibliotheek in JavaScript, en gebruikte deze om twee giftige versies te publiceren die een platformonafhankelijke trojan voor externe toegang installeerden. Deze kwaadaardige release is gericht op macOS, Windows en Linux. Ze waren ongeveer drie uur actief in het npm-register voordat ze werden verwijderd.
Axios krijgt meer dan 100 miljoen downloads per week. Wiz meldde het bevindt zich in ongeveer 80% van de cloud- en codeomgevingen en raakt alles, van React front-end tot CI/CD-pijplijnen en serverloze functies. Jager gedetecteerd de eerste infectie 89 seconden nadat het kwaadaardige pakket live ging en bevestigde ten minste 135 gecompromitteerde systemen onder zijn klanten tijdens de blootstellingsperiode.
Dit is de derde grote npm compromis in de toeleveringsketen binnen zeven maanden. Iedereen maakt misbruik van de inloggegevens van de manager. Deze keer heeft het doelwit elke verdediging geïmplementeerd die de veiligheidsgemeenschap aanbeveelt.
Eén credential, twee vestigingen, 39 minuten
De aanvaller neemt het over npm het account @jasonsaayman, de belangrijkste beheerder van axio, veranderde het e-mailadres van het account in een anoniem ProtonMail-adres en publiceerde het vergiftigde pakket via npmopdrachtregelinterface. Dit omzeilt volledig de GitHub Actions CI/CD-pijplijn van het project.
De aanvaller heeft nooit de broncode van Axios aangeraakt. In plaats daarvan ontvangen beide release-takken één nieuwe afhankelijkheid: plain-crypto-js@4.2.1. Geen enkel deel van de codebase importeert het. Dit pakket is uitsluitend bedoeld om post-installatiescripts uit te voeren die platformonafhankelijke RAT’s in ontwikkelaarsmachines injecteren.
De enscenering is spot-on. Achttien uur voordat axios werd vrijgegeven, publiceerde de aanvaller een schone versie plain-crypto-js onder een aparte npm account om een publicatiegeschiedenis aan te maken en waarschuwingen voor nieuwe pakketscanners te vermijden. Toen kwam de bewapende 4.2.1. Beide lostakken werden binnen 39 minuten gerealiseerd. Drie platformspecifieke payloads zijn vooraf gebouwd. De malware verwijdert zichzelf na uitvoering en wisselt een schoon package.json uit om forensisch onderzoek te dwarsbomen.
Beveiligingsmaatregelendat het compromis identificeert Elektrische aansluitingnoemt het een van de meest operationeel geavanceerde supply chain-aanvallen die ooit zijn gedocumenteerd tegen de top 10-aanvallen npm verpakking.
Verdediging die op papier staat
Axios doet het juiste. Legitieme 1.x-releases worden geleverd via GitHub Actions met behulp van npmOIDC Trusted Publisher-mechanisme, dat elke publicatie cryptografisch koppelt aan een geverifieerde CI/CD-workflow. Dit project onderging de goedkeuring van de SLSA-oorsprong. Met elke moderne maatstaf lijkt de beveiligingsstack solide.
Het doet er allemaal niet toe. Huntress bestudeerde de publicatieworkflow en zoek de kloof. Het project loopt nog steeds NPM_TOKEN als een omgevingsvariabele direct naast de OIDC-inloggegevens. Wanneer beide aanwezig zijn, npm standaard ingesteld op token. Klassieke tokens met een lange levensduur vormen de daadwerkelijke authenticatiemethode voor elke publicatie, ongeacht hoe OIDC is geconfigureerd. De aanvaller hoeft de OIDC nooit te verslaan. Ze liepen er omheen. Het oude token is aanwezig als een parallel authenticatiepad, en npmDe hiërarchie zelf geeft er stiekem de voorkeur aan.
“Uit mijn ervaring bij AWS blijkt dat het heel gebruikelijk is dat oude authenticatiemechanismen blijven bestaan”, zegt Merritt Baer, CSO bij Enkrypt AI en voormalig plaatsvervangend CISO bij AWS, in een exclusief interview met VentureBeat. “Er zijn moderne controles geïmplementeerd, maar als oude tokens of sleutels niet worden teruggetrokken, zal het systeem ze stilletjes selecteren. Zoals we bij SolarWinds hebben gezien, negeren oudere scripts nieuwere monitoring.”
Onderhouder geplaatst op GitHub na het vinden van een compromis: “Ik probeer steun te krijgen om te begrijpen hoe dit kan gebeuren. Ik heb 2FA/MFA voor bijna alles waarmee ik communiceer.”
Endor Labs gedocumenteerd forensische verschillen. Legitiem axios@1.14.0 toont de OIDC-oorsprong, het vertrouwde uitgeversrecord en gitHead gekoppeld aan een bepaalde commit. Slecht axios@1.14.1 heb het niet. Elk hulpmiddel dat de herkomst controleert, zal deze lacunes onmiddellijk signaleren. Maar herkomstverificatie is optioneel. Er is geen registergateway die het pakket weigert.
Drie aanvallen, zeven maanden, dezelfde oorzaak
Drie npm compromis in de toeleveringsketen binnen zeven maanden. Iedereen begint met gestolen managerreferenties.
Dat Shai-Hulud-worm vond plaats in september 2025. Eén enkel phishing-manageraccount geeft aanvallers voet aan de grond die zichzelf over de hele wereld kunnen repliceren. ruim 500 pakkettenoogst npm tokens, cloudreferenties en GitHub-geheimen terwijl ze worden geïmplementeerd. CISA heeft een advies uitgebracht. GitHub gereviseerd npm’s het hele authenticatiemodel als reactie.
Vervolgens in januari 2026 Koi Security’s PackageGate-onderzoek zes zero-day-kwetsbaarheden in npm geëlimineerd, pnpm, vlten Bun doorbreken van de ecosysteemverdediging die na Shai-Hulud werd aangenomen. Het vergrendelen van de bestandsintegriteit en het blokkeren van scripts mislukken beide onder bepaalde omstandigheden. Drie van de vier pakketbeheerders waren binnen enkele weken gepatcht. npm sluit het rapport.
Nu axioma’s. De gestolen tokens met een lange levensduur gaven RAT’s uit via beide vrijgavetakken, ondanks OIDC, SLSA en eventuele verhardingsmaatregelen na Shai-Hulud.
npm stuurde echte hervormingen na Shai-Hulud. Het maken van nieuwe klassieke tokens wordt niet langer gebruikt, hoewel reeds bestaande tokens nog steeds overleven tot de harde opnamedeadline. FIDO 2FA wordt verplicht, gedetailleerde toegangstokens zijn beperkt tot zeven dagen voor uitgifte, en vertrouwde uitgifte via OIDC geeft projecten een cryptografisch alternatief voor opgeslagen inloggegevens. Over het geheel genomen verharden de veranderingen alles stroomafwaarts van manageraccounts. Wat ze niet veranderen, is het account zelf. Referenties blijven het enige punt van falen.
“Credential compromis is een terugkerend thema npm inbreuk,” zei Baer. “Het is niet alleen een kwestie van zwakke wachtwoorden. Het is structureel. Zonder tijdelijke inloggegevens, geïmplementeerde MFA of een geïsoleerde bouw- en ondertekeningsomgeving blijft de toegang van managers een zwak punt.”
Wat npm verzendt versus waar deze aanval doorheen gaat
|
Wat SOC-leiders nodig hebben |
|
versus axio-aanvallen |
Hiaten |
|
Blokkeer de uitgifte van gestolen tokens |
FIDO 2FA is vereist. Granulair token, geldigheidsduur 7 dagen. Klassieke tokens zijn verouderd |
Overgeslagen. Legacy-tokens bestaan naast OIDC. |
Er is geen handhaving om oude tokens te verwijderen wanneer OIDC is geconfigureerd |
|
Controleer de herkomst van het pakket |
OIDC Trusted Publishing via GitHub-acties. SLSA-goedkeuring |
Overgeslagen. De kwaadaardige versie heeft geen herkomst. Gepubliceerd via CLI |
Geen enkele gateway wijst pakketten af die niet afkomstig zijn van het project dat ze eerder had |
|
Vang malware voordat u deze installeert |
Socket, Snyk, Aikido automatische scan |
Deel. Het stopcontact is in 6 minuten gemarkeerd. De eerste infectie vond plaats na 89 seconden |
Detectie tot verwijderingsopening. De scanner vangt het op, het verwijderen van het register duurt uren |
|
Uitvoering na installatie blokkeren |
–ignore-scripts wordt aanbevolen in CI/CD |
Niet afgedwongen. |
postinstall blijft op elke afdeling een belangrijke malwarevector |
|
Afhankelijkheidsversiesleutel |
Handhaving van vergrendelingsbestanden via |
Alleen effectief als lockfile wordt uitgevoerd voordat er een compromis wordt gesloten. Het cursorbereik wordt automatisch aangevuld |
Het caret-bereik is |
Wat u nu moet doen in uw bedrijf
SOC-leiders wiens organisaties Node.js beheren, moeten dit als een actief incident beschouwen totdat ze een schoon systeem bevestigen. Het blootstellingsvenster van drie uur is niet van toepassing tijdens piekuren in de tijdzones van Azië en de Stille Oceaan, en elke CI/CD-pijplijn die ’s nachts een NPM-installatie uitvoert, kan automatisch een gecompromitteerde versie ophalen.
“De eerste prioriteit is een effectbeoordeling: welke consumenten uit de bouw- en downstreamsector ontvangen dit gecompromitteerde pakket?” zei Baer. “Dan controle, herstel en ten slotte transparante rapportage aan het leiderschap. Wat er is gebeurd, wat aan het licht is gekomen en welke controles zullen voorkomen dat een soortgelijke gebeurtenis zich opnieuw voordoet. Uit de lessen van log4j en event-stream blijkt dat snelheid en duidelijkheid net zo belangrijk zijn als het herstel zelf.”
-
Controleer de blootstelling. Zoeken naar sleutelbestanden en CI-logboeken
axios@1.14.1,axios@0.30.4ofplain-crypto-js. Vastmaken aanaxios@1.14.0ofaxios@0.30.3. -
Ga uit van een compromis als dit zich voordoet. Herbouw machines die onder bekende goede omstandigheden zijn getroffen. Roteer elke toegankelijke inloggegevens: npm-token, AWS-sleutel, SSH-sleutel, cloudinloggegevens, CI/CD-geheim, .env-waarde.
-
Blok C2. Toevoegen sfrclak.com en 142.11.206.73 aan de DNS-blokkeerlijst en firewallregels.
-
Controleer op RAT-artefacten.
/Library/Caches/com.apple.act.mondop macOS.%PROGRAMDATA%wt.exeop Windows./tmp/ld.py on Linux. Indien gevonden, voer dan een volledige herbouw uit. -
Hard vooruit. Uitvoeren
npm ci --ignore-scriptsin CI/CD. Vereist installatie van een speciaal lockfile. Weiger pakketten die niet afkomstig zijn van een project dat ze eerder had. Controleer of er naast OIDC ook oudere tokens bestaan in uw eigen uitgifteworkflow.
Het diplomagat wordt door niemand gedicht
Drie aanvallen in zeven maanden. Ze zijn allemaal verschillend qua implementatie en identiek in de kern van het probleem. npmHet beveiligingsmodel beschouwt individuele manageraccounts nog steeds als het belangrijkste vertrouwensanker. Deze accounts blijven kwetsbaar voor het kapen van inloggegevens, ongeacht hoeveel lagen er stroomafwaarts worden toegevoegd.
“AI detecteert risicovolle pakketten, controleert oude authenticatie en versnelt de SOC-reactie”, aldus Baer. “Maar mensen hebben nog steeds de controle over de beheerdersreferenties. We beperken de risico’s. We elimineren deze niet.”
Verplichte herkomstattestering, waarbij handmatige CLI-publicatie volledig is uitgeschakeld, zal deze aanvallen opvangen voordat ze het register bereiken. Hetzelfde geldt voor verplichte ondertekening door meerdere partijen, waarbij geen enkele onderhouder alleen een release kan lanceren. Er zijn er op dit moment geen enkele geïmplementeerd. npm heeft laten doorschemeren dat het standaard uitschakelen van tokens wanneer vertrouwd publiceren is ingeschakeld, in de routekaart staat. Tot de lancering had elk project dat OIDC naast oudere tokens draaide dezelfde blinde vlek-axioma’s.
Axios-onderhouders doen wat de community vraagt. Een verouderd token waarvan niemand zich bewust is, is nog steeds actief en maakt alles kapot.
