Microsoft опубликовала рекомендации по защите после компрометации популярных npm-пакетов Axios. Под угрозой оказались версии 1.14.1 и 0.30.4: в них добавили вредоносную зависимость, которая во время установки могла подтянуть второй этап атаки с внешнего сервера. По данным Microsoft, Axios — один из самых массовых JavaScript-пакетов, у него свыше 70 млн загрузок в неделю, поэтому даже короткое окно компрометации создало риск для большого числа проектов и сборочных конвейеров.
Инцидент выявили 31 марта 2026 года. Microsoft пишет, что вредоносными оказались именно опубликованные npm-релизы, а не исходный код Axios в репозитории. В заражённые версии добавили поддельную зависимость plain-crypto-js@4.2.1, которая запускала сценарий на этапе установки пакета. После этого заражённая машина обращалась к командному серверу и получала полезную нагрузку под конкретную операционную систему. Под удар попадали Windows, macOS и Linux.
Ключевая особенность атаки в том, что обычная работа приложения могла не ломаться. Сам код Axios не меняли: злоумышленники встроили дополнительную зависимость, которая нужна была не для работы библиотеки, а только для запуска вредоносного кода во время npm install или npm update. Это особенно опасно для сред, где обновления подтягиваются автоматически — например, в CI/CD-конвейерах и на машинах разработчиков.
Microsoft рекомендует считать безопасными версии 1.14.0 и 0.30.3 либо более ранние сборки соответствующих веток. Компания советует немедленно откатить Axios, очистить локальный кэш npm, проверить журналы сборки на установку axios@1.14.1, axios@0.30.4 и plain-crypto-js, а также поискать эти артефакты в каталогах node_modules на рабочих станциях. Отдельная мера — срочная ротация секретов и учётных данных на системах, где заражённые версии могли быть установлены.
Ещё одна важная рекомендация — временно отказаться от автоматического получения минорных и патч-обновлений для Axios. Поэтому появилась рекомендация убрать из package.json префиксы ^ и ~, чтобы пакет фиксировался на точной версии. Для транзитивных зависимостей, то есть зависимостей зависимостей, компания рекомендует использовать overrides, чтобы принудительно закрепить безопасную версию. Также Microsoft предлагает по возможности отключать или ограничивать выполнение postinstall-сценариев, потому что именно через такой механизм и сработала атака.
В открытом репозитории Axios инцидент тоже зафиксирован: 31 марта на GitHub появился отдельный issue с сообщением о том, что axios@1.14.1 и axios@0.30.4 скомпрометированы. Это подтверждает, что проблема вышла за пределы одной исследовательской заметки и была замечена самим сообществом вокруг проекта.
Публикация заражённых версий отличалась от обычной схемы релизов Axios: у них не было привычной связки с доверенной публикацией и следа в репозитории в виде соответствующего тега или коммита. Поэтому важно проверять нужно не только код пакета, но и цепочку его публикации — кто выпустил релиз, как он подписан и совпадает ли он с историей проекта.
Если в проекте или сборочной системе хотя бы на короткое время ставились axios@1.14.1 или axios@0.30.4, инцидент нельзя сводить к простой замене пакета. Microsoft рекомендует подходить к ситуации как к возможной компрометации среды: проверить сеть, машину разработчика, сборочные узлы, токены, ключи доступа и секреты, которые могли быть доступны на момент установки.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
