Более 30 российских компаний избежали взлома через библиотеку Axios

Вредоносный пакет обнаружили с помощью сервиса AppSec.Track. У клиентов AppSec Solutions, среди которых несколько десятков российских компаний из отраслей ТЭК, финтех и ритейл, удалось вовремя выявить «зараженный» код и предотвратить глобальный взлом систем через цепочку поставок.

О том, что популярная JavaScript-библиотека Axios подверглась атаке, стало известно на этой неделе. Через скомпрометированный open-source пакет в систему мог попасть троян удаленного доступа (RAT), способный дать злоумышленникам удаленный доступ над зараженными системами. Скомпрометированные версии затронули обе ветки Axios и были нацелены на macOS, Windows и Linux. Вредоносная активность маскировалась под системные процессы. Axios — широко используемая зависимость, атака потенциально затрагивала тысячи проектов и компаний по всему миру, в том числе и в России.

Оперативно отбить потенциальную атаку на российские банки и ритейлеров удалось благодаря политике по дате  —  удалось отсечь код, загруженный из библиотеки Axios после ее взлома, и таким образом, не допустить в сборку зависимости, загруженные после атаки 30 марта.

- В случае с атакой на Axios скомпрометированные версии были опубликованы в npm и начали распространяться через стандартные механизмы установки. Однако благодаря политике по дате такие версии блокируются на этапе подключения зависимостей — еще до того, как они попадают в среду разработки или CI/CD. Атака показала, что внедрение вредоносной зависимости может пройти незамеченным на ранних этапах, и только централизованный контроль и системы мониторинга позволяют вовремя выявлять угрозу и минимизировать последствия, — рассказал Михаил Макаров, руководитель продукта AppSec.Track компании AppSec Solutions.

Анализ кода у компаний, где обнаружили зараженные компоненты, показал, что последствия атаки на цепочку поставок компаний могли бы быть очень серьезными: устранения последствий подобного рода атак через трояны могло занять более недели.