⚡️ Библиотека axios скомпрометирована трояном удаленного доступа.

30 марта злоумышленники опубликовали в npm 2 вредоносные версии библиотеки axios. Версии 1.14.1 и 0.30.4 содержали скрытый установщик кроссплатформенного RAT, инструмента скрытого удаленного доступа.

JavaScript-библиотека Axios широко распространена в экосистеме разработки ИИ-решений, она обеспечивает HTTP-взаимодействие между клиентскими интерфейсами и API (OpenAI, Anthropic, LangChain).

Компрометацию обнаружила компания StepSecurity - ее ИИ-анализатор пакетов зафиксировали аномальные исходящие соединения к домену sfrclak[dot]com в CI-пайплайнах открытых проектов.

Это одна из самых технически изощренных атак на цепочку поставок, когда-либо зафиксированных в экосистеме npm.

Атакующие получили доступ к npm-аккаунту ведущего мейнтейнера проекта jasonsaayman и подменили привязанный email.

Публикация обошла штатный CI/CD-пайплайн: все легитимные релизы axios 1.x выходят через GitHub Actions с криптографической привязкой по OIDC, а вредоносная версия была залита напрямую с украденным npm-токеном - без привязки к коммиту или тегу в репозитории.

Сам код axios не менялся ни на строку. Единственным изменением в package.json стало добавление зависимости plain-crypto-js@4.2.1, пакета, который нигде в исходниках axios не импортируется.

Его единственная задача - выполнить скрипт, запускающий RAT-дроппер для macOS, Windows и Linux. В течение 2 секунд после npm install вредонос устанавливает соединение с сервером - еще до того, как npm заканчивал разрешение остальных зависимостей.

После запуска дроппер удалет себя и подменяет свой package.json на чистую заглушку с номером версии 4.2.0 вместо 4.2.1.

Проведенное расследование установило, что операция была спланирована заранее.

За 18 часов до атаки злоумышленник зарегистрировал чистый клон легитимного crypto-js, создающий видимость нормальной истории публикаций. Затем вышла версия 4.2.1 с вредоносным postinstall-хуком. Обе ветки axios, актуальная 1.x и устаревшая 0.x, были инфицированы с интервалом в 40 минут.

Вредоносные версии axios оставались в реестре npm около 3 часов, после чего были удалены. Пакет plain-crypto-js продержался примерно 4 с половиной часа.

Всем, кто установил axios@1.14.1 или axios@0.30.4, рекомендуется проверить наличие директории plain-crypto-js в node_modules. Её присутствие означает, что дроппер был запущен, даже если npm list не показывает версию 4.2.1.

Зависимость необходимо удалить, а все секреты, SSH-ключи и токены на затронутых машинах считать скомпрометированными.


@ai_machinelearning_big_data

#news #ai #ml

КоммерсантЪ пишет, что, по данным источников, в России начали обсуждение второго пакета ограничений VPN, в который, среди прочего войдет запуск системы лицензируемого доступа к VPN "по талонам".

Как поясняют собеседники, бесконтрольное использование VPN создает риски национальной безопасности, а также подрывает принципы цифрового суверенитета. В связи с этим предлагается перейти к цивилизованной и уже реализованный в 90-х годах применительно к Интернет модели: доступ к VPN будет осуществляться строго при наличии "талона", по предварительной записи и подтвержденной причины подключения.

Предполагается, что гражданин сможет получить не более двух VPN-сеансов в месяц длительностью по 30 минут. Дополнительные подключения будут доступны по повышенному тарифу, при наличии уважительных оснований, среди которых, источники, знакомые с законопроектом, называют:
➡️ посмотреть, как выглядит недоступный сайт
➡️ скачать обновление, которое "само не приехало"
➡️ подключиться к зарубежному сервису по работе
➡️ объяснить родным, что "это не я сломал интернет".

Талоны планируется выдавать через Госуслуги, МФЦ и, в пилотных регионах, через терминалы в отделениях Почты России. Для пользователей старшего возраста рассматривается возможность получения бумажного VPN-талона формата А6 с защитной голограммой и подписью уполномоченного сотрудника собеса, заверенная электронной подписью Головного удостоверяющего центра (обязательно в форме синей прямоугольной печати в правом нижнем углу талона).

Уполномоченный по правам ребенка, как заверяют источники, отдельно добивается включения в законопроект "семейного пакета", в который войдут:
➡️ один взрослый VPN
➡️ два детских с родительским контролем
➡️ и один гостевой для родственника, который приехал и сразу спросил: "А у вас тут вообще что-нибудь открывается?"

Особое внимание будет уделено борьбе со спекуляцией. Перепродажа VPN-талонов, а также их обмен на сахар, гречку и зарубежные подписки будет запрещена. Для борьбы с мошенничеством при выдаче талонов предполагается внедрить систему на базе распределенного реестра по аналогии с цифровым рублем. Эта норма должна войти также в третий пакет по борьбе с кибермошенничеством.

В профильных ведомствах подчеркивают, что мера направлена не на ограничение свободы доступа, а на повышение культуры обхода ограничений.

#суверенитет #юмор

🇮🇷🔫 КСИР объявил 🇺🇸🇮🇱18 международных компаний в сфере IT и ИИ своими «законными целями»

Агентство Tasnim сообщает, что Корпус стражей исламской революции (КСИР) в своем официальном заявлении объявил законными целями подразделения 18 крупных международных технологических корпораций.

↘️ Cisco
↘️ HP
↘️ Intel
↘️ Oracle
↘️ Microsoft
↘️ Apple
↘️ Google
↘️ Meta
↘️ IBM
↘️ Dell
↘️ Palantir
↘️ Nvidia
↘️ J.P. Morgan
↘️ Tesla
↘️ General Electric (GE)
↘️ Spire Solutions (базируется в 🇦🇪 ОАЭ)
↘️ G42 (базируется в 🇦🇪 ОАЭ)
↘️ Boeing

Согласно заявлению иранского командования, интеграция корпоративных систем информационных технологий и искусственного интеллекта стала «главным элементом в проектировании и отслеживании» целей для ударов. Алгоритмы искусственного интеллекта, облачные хранилища, системы спутниковой связи и инструменты обработки больших данных (Big Data), которые разрабатывают указанные восемнадцать компаний, используются военными ведомствами для разведки, постоянного слежения и целеуказания.

КСИР смещает фокус возмездия на технологический сектор, обещая симметрично отвечать на каждую атаку уничтожением инфраструктуры. В заявлении прямо указано, что эти компании «должны ожидать уничтожения своих соответствующих подразделений» в регионе в ответ на любые будущие атаки по территории Ирана.

*Meta (соцсети Facebook, Instagram) запрещена в РФ как 🏴‍☠️экстремистская.

✋ @Russian_OSINT