Следы северокорейских хакеров обнаружены в атаке на npm-пакет Axios

Атака на цепочку поставок программного обеспечения, которая привела к компрометации npm-пакетов Axios, чрезвычайно популярной HTTP-клиентской библиотеки, считается работой финансово мотивированных злоумышленников из Северной Кореи.

Связь с UNC1069

31 марта 2026 года неизвестные злоумышленники смогли опубликовать два вредоносных npm-пакета Axios после получения доступа к аккаунту одного из сопровождающих в npm.

Злонамеренные версии внедряли скрытую зависимость, содержащую скрипт post-install, который автоматически выполнялся во время установки и пытался загрузить и запустить дополнительные полезные нагрузки с контролируемой атакующими инфраструктуры.

Целью было развертывание вредоносного ПО, способного обеспечить удалённый доступ и компрометацию системы, что потенциально позволяло злоумышленникам похищать конфиденциальные данные или перемещаться внутри затронутых сред.

Скрытность и изощрённость атаки указывали на опытных злоумышленников. Внедрённый код был минимальным и разработан для уклонения от обнаружения, а вредоносное поведение было вынесено во внешнюю зависимость и удалённую полезную нагрузку, что затрудняло быстрое выявление компрометации разработчиками или автоматическими инструментами.

Атрибуция атаки была проведена исследователями Google Threat Intelligence Group (GTIG) и аналитиками Mandiant на основе бэкдора, развёрнутого на системах жертв, и используемой инфраструктуры командования и управления (C2).

«Полезные нагрузки, специфичные для платформы, в конечном итоге развёртывают варианты бэкдора, отслеживаемого GTIG как WAVESHAPER.V2. Этот бэкдор, написанный на C++, нацелен на macOS для сбора системной информации, перечисления каталогов или выполнения дополнительных полезных нагрузок и подключается к C2, предоставленному через аргументы командной строки», — отметили исследователи.

Дополнительные варианты WAVESHAPER.V2 были написаны на PowerShell и Python для нацеливания на среды Windows и Linux соответственно. Бэкдор действует как троян удалённого доступа и способен на системную разведку, перечисление файловой системы и выполнение кода.

Предыдущие версии этого бэкдора использовались угрозой, связанной с Северной Кореей, которую GTIG называет UNC1069. Эта группа активна как минимум с 2018 года и известна нацеливанием на организации с целью кражи криптовалюты.

“Исследование C2-инфраструктуры (sfrclak[.]com, ведущей на 142.11.206.73), выявило соединения с конкретным узлом AstrillVPN, который ранее использовался группой UNC1069. Кроме того, соседняя инфраструктура, размещённая в том же ASN, исторически связана с операциями UNC1069”, — добавили они.

Ожидаются дальнейшие взломы

Окно уязвимости было коротким — вредоносные версии npm-пакета Axios были доступны менее трёх часов перед удалением — но даже такая кратковременная компрометация может иметь широкие последствия.

“Эта атака особенно значима, поскольку Axios — широко используемая библиотека, часто включаемая как транзитивная зависимость в миллионах приложений”, — отметил Андрес Рамос, старший исследователь угроз в Arctic Wolf.

“Организации, устанавливающие npm-пакеты в CI/CD-пайплайнах, могли автоматически загрузить вредоносные версии в свои среды сборки в течение примерно трёхчасового окна. Даже системы, не устанавливавшие Axios напрямую, могли быть затронуты косвенно, если другой пакет в среде зависел от скомпрометированных версий, что подчёркивает широкий каскадный риск в современных экосистемах JavaScript.”

Различные компании в сфере безопасности предложили рекомендации по устранению последствий для потенциально затронутых разработчиков и организаций, а также правила обнаружения угроз и советы по предотвращению подобных атак в будущем.

Аналогично, многие компании дали рекомендации для тех, кто пострадал от других атак на цепочку поставок, произошедших в последние дни и нацеленных на проекты с открытым исходным кодом, такие как сканер безопасности Trivy, библиотека LiteLLM и Telnyx на PyPI.

Все эти атаки приписываются финансово мотивированной группе TeamPCP — или, как их называет GTIG, UNC6780 — и есть сообщения, что похищенные в этих атаках секреты будут использованы «партнёрскими» группами, такими как программа-вымогатель Vect (RaaS) и группами шантажа, подобными Lapsus$.

“В результате этих недавних атак могут циркулировать сотни тысяч похищенных секретов. Это может привести к дальнейшим атакам на цепочку поставок ПО, компрометации сред SaaS (что повлечёт за собой компрометацию клиентов), событиям, связанным с программами-вымогателями и шантажом, а также кражам криптовалюты в ближайшей перспективе”, — предупредили исследователи GTIG.

Специалистам по защите данных необходимо тщательно изучить эти атаки, а организациям — предпринять целенаправленные действия для оценки текущего ущерба, восстановления заражённых систем и усиления безопасности инфраструктуры от будущих угроз.

Подпишитесь на нашу экстренную e-mail рассылку, чтобы всегда быть в курсе последних утечек данных, уязвимостей и киберугроз. Подписаться можно здесь!