К основному содержимому

Меньше шума, больше смысла за ту же минуту

КриптоМарс Медиа
Технологии4 мин чтенияАвтор · Васильев Марсель

Цепочка поставок npm: атака на Axios 1.14.1 — что делать

Цепочку поставок npm взломали через axios 1.14.1 — смена ключей доступа и откат пакета

Автор

Васильев МарсельВасильев МарсельCEO КриптоМарс Медиа

Статья раскрывает детальный анализ атаки на популярную библиотеку Axios, подчеркивая важность защиты цепочек поставок программного обеспечения и предлагая практические шаги для выявления возможных угроз.

Иллюстрация к материалу: Цепочка поставок npm: атака на Axios 1.14.1 — что делать
Безопасность
Поделиться
Инцидент с axios быстро стал показательной историей про цепочку поставок npm: в реестр попали скомпрометированные релизы axios@1.14.1 и axios@0.30.4, опубликованные через взломанную учётку основного автора. Об этом писали в профильных обсуждениях на Reddit, а технический разбор указывает на внедрение отдельной вредоносной зависимости. Для рынка это тревожный сигнал: axios относится к библиотекам, которые стоят в фундаменте огромного числа Node.js проектов, а значит, ошибка в одном месте масштабируется на тысячи команд и пайплайнов.
Ключевая техническая деталь атаки проста и поэтому опасна. В компрометированные версии добавили зависимость plain-crypto-js@4.2.1, которой раньше не существовало. Внутри был обфусцированный postinstall-скрипт, запускающийся автоматически при установке пакета и подтягивающий троян. Разбор на zenn.dev описывает механику как типичную для supply-chain атак: разработчик может даже не заметить момент заражения, потому что вредоносный код приходит в фоне, во время стандартной установки через npm.
Дальше начинается самая неприятная часть: поведение, ориентированное на сокрытие следов. В обсуждениях указывали на попытки «подчистить» артефакты после установки, вплоть до подмены package.json уже на зараженной машине, а также на сильную обфускацию. В терминах последствий речь идет про потенциальный удаленный доступ через RAT и возможность вмешательства в сетевые взаимодействия приложений. Для многих команд это автоматически превращается в риск утечки секретов и токенов, потому что axios часто живет рядом с переменными окружения, ключами API и доступами к инфраструктуре.
Скомпрометированные публикации достаточно быстро удалили после обнаружения, но удаление в реестре не отменяет факта, что часть окружений уже могла успеть их скачать и закешировать в CI. В разборе указано, что безопасными считаются версии не выше 1.14.0 для ветки 1.x и не выше 0.30.3 для ветки 0.x. Это важная граница именно для управления риском: если у вас в lock-файлах встретилась 1.14.1 или 0.30.4, проблему нельзя воспринимать как «просто обновление». Это инцидент безопасности.

Продолжить по теме

Материалы, которые дополняют картину: новости, колонки и видео по этому сюжету.

Иллюстрация к материалу: OpenClaw риск: что известно и как защитить криптокошельки
Технологии4 мин

OpenClaw риск: что известно и как защитить криптокошельки

Статья раскрывает опасности использования платформы OpenClaw для управления криптокошельками и предлагает важные рекомендации по защите от потенциальных угроз, связанных с вредоносными модулями.

Автор: Васильев Марсель

Безопасность
Иллюстрация к материалу: Base Ethereum: почему сети делают ставку на агентов ИИ
Технологии4 мин

Base Ethereum: почему сети делают ставку на агентов ИИ

Статья исследует, как Ethereum-слой 2 Base от Coinbase настраивается на будущее, в котором автономные агенты ИИ будут активно взаимодействовать с блокчейном, превращая его в базовую инфраструктуру для новой эры автоматизированной экономики.

Автор: Васильев Марсель

ИИ

Не согласны или есть дополнение?

Напишите редакции: разберём аргументы, при необходимости обновим текст или дадим ответный материал. red@cryptomarsmedia.ru.