Angripare sprider skadliga Axios-versioner via komprometterad underhållares dator

Två skadliga uppdateringar av JavaScript-biblioteket Axios låg ute i omkring tre timmar den 31 mars, efter att angripare tagit sig in i projektets underhållares bärbara dator och publicerat förgiftade paket. Det uppger TechCrunch och en efterhandsrapport av underhållaren Jason Saayman. Axios används brett för att göra förfrågningar över nätet och ligger djupt inbäddat i både webb- och mobilprogram; en dålig utgåva kan därför spridas långt innan någon hinner reagera. Saayman skriver att operationen inleddes ungefär två veckor tidigare genom en långsam kampanj av social manipulation som till slut ledde till ett falskt ”affärssamtal” och ett skadeprogram, maskerat som en uppdatering till ett möte.

Detaljerna är viktiga eftersom angreppet rundar den vanliga debatten om ”säker kod” och i stället träffar den rörigare verkligheten: öppen källkod bärs ofta av en handfull frivilliga som underhåller infrastruktur som stora företag behandlar som en gratis nyttighet. I det här fallet ska angriparna ha byggt upp en trovärdig arbetsyta i Slack, fyllt den med falska anställdprofiler och använt en inbjudan till ett webbmöte som leveransväg. När Saaymans dator väl var fjärrstyrd blev publiceringsrättigheterna till projektet själva angreppsytan; de skadliga paketen skickades ut som till synes legitima utgåvor, snarare än som ett högljutt intrång hos nedströms företag.

Säkerheten i leveranskedjan har förbättrats de senaste åren – mer signering, mer automatisk granskning av beroenden och fler företagskontor för öppen källkod – men Axios-händelsen pekar på den svaga länken som sådana program sällan förmår åtgärda: människan högst upp i trädet, med ett konto som kan publicera. En beroendeskanner kan i efterhand flagga kända dåliga versioner, men den kan inte hindra en underhållare från att ladda upp dem från början. Tidsfönstret mellan ”publicera” och ”dra tillbaka” är dessutom exakt den period då automatiserade byggsystem gör sitt jobb: de hämtar senaste versionen och rullar ut den.

Det sannolika målet var stöld av inloggningsuppgifter och nycklar. TechCrunch rapporterar att system som installerade de skadliga versionerna kan ha exponerat privata nycklar, lösenord och andra hemligheter som lagras på utvecklarmaskiner, vilket möjliggör följdangrepp som ser orelaterade ut till Axios. Det stämmer med ett bredare mönster som tillskrivs nordkoreanska aktörer, som upprepade gånger använt social manipulation för att få fjärråtkomst och därefter växla över till stölder av kryptovaluta. TechCrunch hänvisar till forskare på Google som dokumenterat liknande lockbeten och nämner uppskattningar om att nordkoreanska hackargrupper stal minst 2 miljarder dollar i kryptovaluta under 2025.

För företag som bygger på öppen källkod är händelsen en påminnelse om att ”gratis” programvara ofta betalas någon annanstans: i akut lappning, incidenthantering och hastiga interna granskningar när ett centralt beroende förgiftas. För underhållare understryker den hur snabbt en betrodd utgivningskanal kan bli ett distributionsnät för skadeprogram när underhållarens bärbara dator i praktiken behandlas som produktionsinfrastruktur.

De skadliga Axios-paketen togs bort inom ungefär tre timmar. Men då hade nätet redan gjort det som det gör bäst: mångfaldiga den senaste byggnaden överallt där den kunde nå fram.