Thư viện Axios bị tấn công chuỗi cung ứng, hacker lợi dụng token npm bị đánh cắp để cấy mã độc từ xa, ảnh hưởng đến khoảng 80% môi trường đám mây

Tin nhắn Deep Tide TechFlow, ngày 02 tháng 04, theo tường thuật của VentureBeat, kẻ tấn công đã đánh cắp mã truy cập npm của người bảo trì chính của thư viện HTTP phổ biến nhất cho JavaScript là Axios, và đã sử dụng mã truy cập đó để phát hành hai phiên bản độc hại (axios@1.14.1 và axios@0.30.4) chứa mã độc dạng Trojan truy cập từ xa đa nền tảng (RAT). Các phiên bản này nhắm mục tiêu phủ sóng các hệ thống macOS, Windows và Linux. Các gói độc hại tồn tại trên sàn đăng ký npm khoảng 3 giờ trước khi bị gỡ bỏ.

Theo dữ liệu của công ty an ninh Wiz, Axios có hơn 100 triệu lượt tải xuống mỗi tuần và có mặt trong khoảng 80% môi trường đám mây và môi trường mã nguồn. Công ty an ninh Huntress đã phát hiện các ca nhiễm đầu tiên ngay sau 89 giây kể từ khi gói độc hại được đăng tải, và trong khoảng thời gian phơi bày đã xác nhận ít nhất 135 hệ thống đã bị xâm nhập.

Điều đáng chú ý là dự án Axios trước đó đã triển khai các biện pháp bảo mật hiện đại như cơ chế phát hành đáng tin cậy OIDC và các bằng chứng truy xuất nguồn gốc SLSA, nhưng kẻ tấn công đã hoàn toàn vượt qua được các hàng rào này. Kết quả điều tra cho thấy, trong khi dự án cấu hình OIDC, họ vẫn giữ lại NPM_TOKEN truyền thống có hiệu lực lâu dài; và khi hai cơ chế này cùng tồn tại, npm mặc định ưu tiên sử dụng token truyền thống, khiến kẻ tấn công không cần phải vượt qua OIDC vẫn có thể hoàn tất việc phát hành.