Вход

Взлом Axios через цепочку поставок: троян крал ключи криптокошельков

В марте 2026 года специалисты по кибербезопасности обнаружили критическую атаку на цепочку поставок в популярной JavaScript-библиотеке Axios — инструменте для выполнения HTTP-запросов, используемом в миллионах проектов по всему миру. Злоумышленники опубликовали две вредоносные версии пакета ([email protected] и [email protected]), которые автоматически устанавливали троян [email protected] при добавлении зависимости. Вредоносный код получал полный удалённый доступ к системам разработчиков, позволяя красть приватные ключи, API-токены и данные криптокошельков.

📊 По данным компании Socket, вредоносная версия Axios была доступна в реестре npm в течение 18 часов до удаления. За это время её установили более 27 000 проектов, включая децентрализованные приложения и биржевые интеграции.

🔍 Как работала атака?

Механизм компрометации был изощрённо прост:

  1. Злоумышленник опубликовал легитимно выглядящие версии Axios с номерами, близкими к официальным релизам
  2. В package.json была добавлена зависимость от [email protected] — пакета, созданного за 47 минут до взлома
  3. При установке через npm install срабатывал post-install скрипт, автоматически запускающий вредоносный код без участия пользователя
  4. Троян устанавливал бэкдор, отправляя на удалённый сервер: приватные ключи кошельков, переменные окружения, историю команд и скриншоты экрана

Как отметил старший инженер по безопасности в Hacken Абдельфаттах Ибрагим: «Это полноценный удалённый доступный троян (RAT). Атакующий мог взаимодействовать с системой в реальном времени, как будто сидел за компьютером жертвы».

«Цепочка поставок — самая уязвимая точка современной разработки. Один скомпрометированный пакет может уничтожить доверие к миллионам приложений», — Брюс Шнайер, эксперт по кибербезопасности.

🛡️ Почему это опасно для криптоиндустрии?

Axios является критически важной зависимостью для большинства крипто-приложений:

  • DEX и кошельки используют его для запросов к блокчейн-нодам и индексаторам
  • Биржевые интеграции полагаются на Axios для получения цен и исполнения ордеров
  • Смарт-контрактные интерфейсы применяют его для взаимодействия с оракулами

Ибрагим предупредил: «Это плохие новости для dApps и приложений, работающих с криптовалютами. Утечка приватных ключей или seed-фраз через такой вектор может привести к полной компрометации средств пользователей».

🚨 Рекомендации для разработчиков

Компании OX Security и Socket настоятельно рекомендуют:

  1. Немедленно проверить зависимости через npm ls axios и npm ls plain-crypto-js
  2. Ротировать все ключи: API-токены, приватные ключи, переменные окружения
  3. Считать систему скомпрометированной, если использовалась вредоносная версия
  4. Внедрить lock-файлы (package-lock.json) с проверкой контрольных сумм
  5. Использовать инструменты вроде Socket.dev для автоматического сканирования зависимостей

Важно: даже если проект не напрямую зависел от уязвимой версии, транзитивные зависимости могли её подтянуть.

📉 Контекст: рост атак на цепочку поставок в 2025–2026 гг.

Инцидент с Axios — не единичный случай. В последние месяцы зафиксированы аналогичные атаки:

  • Декабрь 2025: компрометация пакетов в рабочем процессе разработки Trust Wallet привела к краже $7 млн с 2 500 кошельков
  • Январь 2026: хакер по имени ZachXBT обнаружил массовую атаку на кошельки через скомпрометированные npm-пакеты, затронувшую «сотни» адресов
  • Февраль 2026: атака через библиотеку event-stream на проекты в сфере DeFi

По данным Sonatype, количество атак на цепочку поставок выросло на 742% за последние два года, при этом 83% инцидентов остаются незамеченными более 30 дней.

💡 Почему разработчики не замечают угрозу?

Три психологических барьера мешают обнаружить компрометацию:

  1. Доверие к реестру: npm и другие пакетные менеджеры воспринимаются как «безопасные по умолчанию»
  2. Сложность аудита: средний проект имеет 793 транзитивные зависимости — проверить их вручную невозможно
  3. Отсутствие видимых симптомов: троян работает тихо, не вызывая сбоев в работе приложения

Как сказал один из исследователей: «Разработчик думает: „Это же Axios — как он может быть вредоносным?“. А злоумышленник уже получил доступ к его приватному ключу».

🔮 Будущее: защита через верификацию и изоляцию

Эксперты предлагают многослойную защиту:

  • SBOM (Software Bill of Materials): обязательный учёт всех зависимостей с хеш-верификацией
  • Изоляция сред: запуск установки пакетов в песочнице без доступа к секретам
  • Подписанные релизы: криптографическая верификация авторства пакетов
  • Мониторинг в реальном времени: AI-системы для детекции аномального поведения зависимостей

Компания npm анонсировала планы по внедрению двухфакторной аутентификации для публикации пакетов к концу 2026 года, но критики отмечают: это не остановит атаки через скомпрометированные аккаунты разработчиков.

✨ Заключение: доверяй, но проверяй — и проверяй автоматически

Атака на Axios напоминает: в современной разработке безопасность цепочки поставок не может полагаться на человеческую бдительность. Каждая зависимость — потенциальная точка входа для злоумышленника.

Как сказал Ибрагим: «Мы больше не можем доверять пакетам только потому, что они популярны. Нужны автоматизированные системы, которые проверяют каждую строку кода до установки».

Потому что в мире, где один npm install может стоить миллиона долларов, безопасность начинается не с пароля, а с контрольной суммы.

31.03.2026, 07:47
Новости