Kompromitacja popularnej biblioteki Axios przez hakerów z Korei Północnej ujawnia krytyczne luki w bezpieczeństwie globalnego łańcucha dostaw oprogramowania open source. Incydent ten podkreśla pilną potrzebę wdrożenia strategii 'Secure by Design’ oraz 'Automation First’ w zarządzaniu zależnościami, aby chronić dane i infrastrukturę przed zaawansowanymi atakami państwowymi.
Analiza Incydentu: Jak doszło do kompromitacji Axios
Na początku kwietnia 2025 roku potwierdzono, że sponsorowani przez państwo hakerzy z Korei Północnej skompromitowali bibliotekę HTTP Axios, jeden z najczęściej pobieranych pakietów npm (ponad 45 milionów pobrań tygodniowo). Atakujący zastosowali inżynierię społeczną, nakłaniając jedynego opiekuna projektu do zainstalowania złośliwego oprogramowania na jego maszynie deweloperskiej.
Po uzyskaniu zdalnego dostępu, opublikowali złośliwe wersje biblioteki (1.7.8 i 1.7.9) na npm, co naraziło dane uwierzytelniające, klucze API i prywatne tokeny tysięcy aplikacji. Złośliwe pakiety były dostępne przez około 72 godziny, zanim zostały zidentyfikowane i usunięte.
Metodologia Ataku
- Hakerzy podszywali się pod firmę technologiczną, tworząc przekonujące środowisko Slack i budując relację z opiekunem przez tygodnie, oferując sponsorowanie.
- Zaprosili opiekuna na spotkanie wideo, które wymagało instalacji trojanizowanego oprogramowania aktualizującego.
- Po uzyskaniu dostępu, opublikowali skompromitowane wersje Axios, zawierające zaciemniony kod do eksfiltracji zmiennych środowiskowych i tokenów uwierzytelniających.
Kontekst Rynkowy i Implikacje Bezpieczeństwa
Atak przypisano grupie Lazarus (Korea Północna), zbieżnej z kampaniami TraderTraitor i technikami UNC4899. Grupy te finansują programy zbrojeniowe poprzez kradzieże kryptowalut, a ataki na łańcuchy dostaw open source to logiczne rozszerzenie tej strategii, umożliwiające masową kradzież danych uwierzytelniających.
Kto jest narażony i co należy zrobić?
Axios jest kluczową zależnością dla tysięcy firm, w tym Microsoft, Stripe, Airbnb. Każda organizacja używająca aplikacji JavaScript/TypeScript powinna założyć ekspozycję i podjąć natychmiastowe działania:
- Audytować pliki 'lockfile’ pod kątem Axios 1.7.8/1.7.9 (zależności bezpośrednie i przechodnie).
- Zrotować wszystkie sekrety (klucze API, dane uwierzytelniające, tokeny chmury) dostępne na maszynach lub w potokach CI/CD, które zainstalowały dotknięte wersje.
- Przypiąć Axios do 1.7.7 lub 1.7.10; skonfigurować npm/yarn, aby zapobiec automatycznym aktualizacjom do niezweryfikowanych pakietów.
- Wdrożyć narzędzia do skanowania zależności (np. Socket, Snyk, GitHub Dependabot) do wykrywania anomalii behawioralnych, nie tylko znanych CVE.
- Wymagać wieloosobowego zatwierdzania publikacji dla wewnętrznych projektów open source, wykorzystując granularne kontrole dostępu npm.
- Inwestować w infrastrukturę bezpieczeństwa krytycznych projektów open source utrzymywanych przez pojedynczych deweloperów (np. przez OpenSSF).
Wnioski: Odpowiedzialność i Przyszłość Bezpieczeństwa Open Source
Incydent z Axios ujawnia, że ataki na łańcuch dostaw open source to nie tylko kwestia cyberbezpieczeństwa, ale także ekonomii pracy. Pojedynczy, niedofinansowany opiekun stał się punktem nacisku dla jednostki wywiadowczej państwa.
Firmy czerpiące miliardy przychodów z produktów zależnych od Axios zainwestowały znikome środki w ochronę osoby kontrolującej proces publikacji. Gdy państwa narodowe traktują opiekunów open source jako cele wywiadowcze, luka między wartością ekonomiczną tych projektów a zasobami przeznaczonymi na ich zabezpieczenie staje się kwestią bezpieczeństwa narodowego.
Wymaga to strukturalnych zmian w branży: finansowanych programów bezpieczeństwa, obowiązkowych wielostronnych kontroli publikacji dla krytycznych pakietów oraz odpowiedzialności korporacyjnej za wybierane łańcuchy dostaw.
Materiał opracowany przez redakcję BitBiz na podstawie doniesień rynkowych.
Dodaj komentarz