Атака на цепочку поставок нацелена на пакет axios

Атака на цепочку поставок скомпрометировала версию axios 1.14.1, которая незаметно подключает [email protected] в качестве зависимости. Этот пакет представляет собой обфусцированный дроппер RAT (Remote Access Trojan). NPM удалил вредоносную версию, но разработчики, установившие её в период уязвимости, могут быть заражены.

Рабочие процессы разработки с помощью ИИ под угрозой

Атака специально нацелена на разработчиков, использующих ИИ-ассистенты для программирования, такие как Claude. В источнике отмечается, что при работе с ИИ разработчики часто позволяют искусственному интеллекту управлять установкой пакетов, не проверяя различия в package.json и не проводя аудит подключаемых зависимостей. Злоумышленники используют это доверие к автоматизированным рабочим процессам, где разработчики создают проекты и запускают установки без ручной проверки.

Немедленные шаги по обнаружению и устранению

Выполните эти команды для проверки на заражение:

# Проверьте ваш lock-файл
grep -r "plain-crypto-js" package-lock.json
grep -r "[email protected]" package-lock.json

Проверьте наличие артефактов сохранения
ls -la /library/caches/com.apple.act.mond  # macOS
ls /tmp/ld*  # Linux

Если вы обнаружите вредоносный пакет:

• Немедленно откатитесь к [email protected]
• Смените все ключи и учётные данные (учётные данные AWS, API-ключи и т.д.)
• Проведите аудит всех lock-файлов в ваших проектах

Профилактические меры

Источник рекомендует фиксировать версии и вручную проверять, какие зависимости подключают ИИ-ассистенты. Разработчикам следует замедлить автоматизированные установки и фактически читать, какие пакеты добавляются в их проекты.