Axios kompromitiran: 100 milijuna preuzimanja tjedno s RAT-om
Axios kompromitiran: 100 milijuna preuzimanja tjedno s RAT-om📷 © Tech&Space
- ★Dvije zaražene Axios verzije s kriptiranim RAT-om
- ★100 milijuna preuzimanja tjedno – svaki sustav kompromitiran
- ★npm račun voditelja projekta preuzet za 18 sati
Jedna kompromitirana biblioteka ponovno pokazuje koliko je internet ovisan o nekoliko ključnih paketa. Korisnici i tržište to osjete prije nego što marketinška prezentacija završi.
Prema podacima Snyk i StepSecurity, zaražene verzije su u prosjeku preuzimane svake 1,1 sekunde tijekom aktivnog perioda napada. Axios se koristi u milijunima projekata – od startupova do enterprise rješenja – što znači da je rizik širenja na produkcijske sustave izravan i masovan.
Napad nije bio sofisticiran u tehničkom smislu, već je iskoristio ljudski faktor: kompromitiran račun voditelja projekta. To postavlja pitanje koliko je npm ekosustav – koji se oslanja na dovjeru u pojedince umjesto na stroge sigurnosne protokole – ranjiv na slične napade u budućnosti.
Kompromitiran npm račun voditelja projekta ugrozio milijune korisnika i izazvao pitanja o sigurnosti ekosustava📷 © Tech&Space
Supply chain opet ruši povjerenje
Problem nije samo u samom trojancu, već u brzini reakcije. Iako je npm ugasio zaražene pakete za 2-3 sata od prijave, GitHub issue pokazuje da su neki korisnici i dalje izloženi riziku jer automatska ažuriranja nisu uvijek aktivirana, a ručna provjera ovisnosti rijetko je prioritet u brzim development ciklusima.
Pravi udarac ovdje nije samo na Axios, već na cijeli JavaScript ekosustav koji se oslanja na npm. Ako paket s 100 milijuna tjednih preuzimanja može biti kompromitiran tako jednostavno, što sprječava sličan scenario s React-om, Lodash-om ili Express-om? Wiz i Vercel već upozoravaju da bi ovaj incident mogao potaknuti masovnu migraciju na alternative kao što su fetch API ili ky, ali to rješenje nije realno za projekte koji ovise o Axiosovim specifičnim featureima – poput interceptor-a ili automatske transformacije podataka.
Za developere, ovo znači hitnu reviziju svih ovisnosti – ne samo Axiosa, već i svih paketa koji ga koriste kao dependency. StepSecurity preporučuje ne samo rotaciju svih kredencijala na kompromitiranim sustavima, već i potpunu izolaciju development okruženja dok se ne provede forenzička analiza. To nije samo IT problem, već poslovni rizik: ako je napad uspio proći neprimijećen 18 sati, koliko drugih ranjivosti ostaje neotkriveno?