Только что произошла довольно серьезная инцидент с безопасностью цепочки поставок. Библиотека axios — самый популярный HTTP-клиент для JavaScript — была взломана.

Проще говоря, злоумышленники украли токен доступа главного мейнтейнера axios на npm и выпустили два вредоносных пакета с удалённым доступом через троянские бэкдоры (версии 1.14.1 и 0.3.4), предназначенные для macOS, Windows и Linux. Эти вредоносные версии находились в реестре npm примерно 3 часа, прежде чем их удалили.

Еще более тревожный момент — масштаб воздействия. Согласно статистике компании Wiz, еженедельное скачивание axios превышает 100 миллионов раз, он используется примерно в 80% облачных и кодовых сред. Это означает, что потенциальное число затронутых систем может быть очень большим. Компания Huntress обнаружила первую зараженную систему всего через 89 секунд после появления вредоносного пакета и за время уязвимости подтвердили взлом как минимум 135 систем.

Самое интересное — проект axios уже внедрил механизмы доверенной публикации OIDC и доказательства трассировки SLSA, что является современными мерами безопасности. Но злоумышленники всё равно полностью обошли эти защиты. Расследование показало, что проблема кроется в настройках — при включении OIDC проект всё еще сохранял традиционный долгосрочный токен NPM_TOKEN, и npm при одновременном наличии обоих использовал по умолчанию именно его. В результате злоумышленникам вовсе не пришлось обходить OIDC, они просто использовали старый токен и успешно опубликовали вредоносный пакет.

Чему это учит? Даже самые современные и сильные механизмы безопасности при неправильной настройке превращаются в фикцию. Пример axios показывает, что безопасность цепочки поставок — это не только технические меры, но и внимательное управление настройками. Если ваш проект или приложение зависит от широко используемых open-source библиотек, сейчас стоит проверить свои зависимости.