Massive axios supply chain campaign 👩‍💻

В популярной библиотеке axios (версии 1.14.1 и 0.30.4) был обнаружен опасный троян (RAT), внедренный через взломанный аккаунт одного из мейнтейнеров проекта. Вредонос маскируется под зависимость plain-crypto-js, которая при установке незаметно заражает Windows, macOS и Linux, после чего удаляет свои следы 🚨

Если вы обновляли пакеты 30–31 марта, проверьте наличие вредоносных файлов (полный список ниже) на хостах. Для очистки проекта откатитесь на версии 1.14.0 или 0.30.3 и обязательно сбросьте все секреты (API-ключи, токены), так как они могли быть похищены 😃

🛡 IOC for hunts:

Сетевые индикаторы

sfrclak.com
142.11.206.73
http://sfrclak.com:8000/6202033
packages.npm.org

Оставленные бэкдоры/закрепы

MacOS /Library/Caches/com.apple.act.mond
Windows %PROGRAMDATA%\wt.exe
Linux /tmp/ld.py

SHA суммы вредоносных библиотек
axios@1.14.1 - 2553649f232204966871cea80a5d0d6adc700ca
axios@0.30.4 - d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71
plain-crypto-js@4.2.1 - 07d889e2dadce6f3910dcbc253317d28ca61c766

🔗 Report: https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan

🧢 s0ld13r