100 millioner ukentlige nedlastinger. Axios er en av de mest brukte HTTP-klientene i JavaScript-økosystemet, dypt innebygd i webapper, backends og CI/CD-pipelines. 30.–31. mars kapret en angriper npm-kontoen til prosjektets hovedvedlikeholder og publiserte to ondsinnede versjoner: 1.14.1 og 0.30.4.
De forgiftede versjonene introduserte en skjult avhengighet kalt plain-crypto-js, som aldri finnes i Axios' kildekode. Versjon 4.2.0 ble publisert som en uskyldig pakke for å bygge tillit. Timer senere kom 4.2.1 med en postinstall-hook som fungerte som en kryssplattform RAT-dropper.
På macOS lastet skriptet ned en binær RAT til /Library/Caches. På Windows brukte det VBScript og en omdøpt PowerShell-prosess. På Linux installerte det en Python-RAT via nohup. Alle tre variantene kommuniserte med samme C2-infrastruktur på sfrclak.com, med HTTP-forespørsler som etterlignet npm-trafikk.
«Angriperen kontrollerte en admin-konto og kunne slette og fjerne festing av varslingsissuer på GitHub, noe som gjorde hendelsesresponsen vanskeligere» — prosjektmedarbeider ifølge GBHackers
Etter installasjon slettet setup.js seg selv og erstattet den ondsinnede package.json med en ren versjon, noe som gjør filsysteminspeksjon upålitelig. Organisasjoner innen offentlig sektor, finans, helse og teknologi ble berørt.
Bakgrunn
Legitim Axios publiseres via GitHub Actions med npm OIDC Trusted Publisher, som kryptografisk binder pakken til en verifisert CI-workflow. De ondsinnede versjonene ble presset manuelt med et stjålet token uten trustedPublisher-metadata.