Aanvallers zijn erin geslaagd om de npm-package van de populaire HTTP client library Axios te voorzien van malware. De aanval was mogelijk doordat het account van de primaire maintainer van het Axios-project werd gehackt, zo meldt securitybedrijf StepSecurity in een analyse. Axios is één van de meestgebruikte HTTP clients in het JavaScript-ecosysteem met meer dan honderd miljoen wekelijkse downloads op npmjs.com. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages.

Hoe de aanvallers het account van de maintainer konden compromitteren is onbekend. Nadat er toegang tot het account was verkregen werd het e-mailadres gewijzigd. Vervolgens werden er door de aanvallers verschillende malafide builds uitgebracht. Geen van deze malafide versies bevat kwaadaardige code. In plaats daarvan werd er een zogenaamde dependency geïnjecteerd, die als enig doel heeft het installeren van een cross-platform remote access trojan (RAT). De malware werkt op Linux, macOS en Windows en geeft aanvallers toegang tot het gehackte systeem.

De dropper die voor de installatie van de uiteindelijk malware verantwoordelijk is verwijdert zichzelf en vervangt de eigen package met een schone versie als afleidingsmanoeuvre, aldus de onderzoekers. Ontwikkelaars die na de infectie de node_modules folder inspecteren zullen dan ook niets verdachts zien. Volgens StepSecurity was de aanval niet opportunistisch maar goed voorbereid, en hebben de aanvallers veel moeite genomen om hun sporen te verbergen. Ze stellen dat het om één van de meest geraffineerde supplychain-aanvallen tegen een Top 10 npm-package gaat die ooit is gedocumenteerd.

Zowel StepSecurity als securitybedrijf Socket hebben informatie gepubliceerd waarmee ontwikkelaars en organisaties kunnen controleren of hun systemen zijn gecompromitteerd en welke verdere stappen genomen moeten worden.