駭客劫持擁有數百萬用戶的 Axios 開源專案並植入惡意軟體

一名駭客劫持並修改了一款受歡迎的開源軟體開發工具，用以傳送惡意軟體，這可能導致數百萬名開發者面臨被入侵的風險。

週一，一名駭客發布了廣泛使用的 JavaScript 函式庫 Axios 的惡意版本，開發者依賴該函式庫讓其軟體連接到網際網路。受影響的函式庫託管於 npm，這是一個儲存開源專案程式碼的軟體儲存庫。Axios 每週的下載量高達數千萬次。

根據分析此次攻擊的安全公司 StepSecurity 表示，這起劫持事件在週一深夜至週二凌晨期間被發現，並在大約三小時內被制止。

駭客正日益瞄準熱門開源專案的開發者，企圖對任何依賴受損程式碼的人進行大規模攻擊，這可能讓駭客獲得存取大量受影響裝置的權限。這類廣泛的入侵被稱為供應鏈攻擊，因為它們針對軟體本身，進而讓駭客能夠攻擊任何下載了受損軟體的人。近年來，駭客曾針對 3CX、Kaseya 和 SolarWinds 等公司，以及 Log4j 和 Polyfill.io 等開源工具，藉此攻擊大量用戶。

目前尚不清楚在這段時間內有多少人下載了惡意版本的 Axios。同樣調查此事件的安全公司 Aikido 表示，任何下載了該程式碼的人「都應假設其系統已遭入侵」。

聯繫我們

駭客之所以能將惡意程式碼植入 Axios，是因為入侵了該專案其中一名主要開發者的帳號，該開發者擁有發布更新的權限。駭客將帳號中原有的合法開發者電子郵件地址替換為自己的地址，使得開發者更難奪回存取權。

在控制帳號後，駭客插入了旨在傳送遠端存取木馬（RAT）的惡意程式碼——這本質上是一種能讓駭客完全遠端控制受害者電腦的惡意軟體。隨後，駭客針對 Windows、macOS 和 Linux 用戶，以看似合法的更新形式發布了新版本的 Axios。

根據安全研究人員的說法，駭客還設計了該惡意軟體以及部分用於傳送它的程式碼，使其在安裝後自動刪除，企圖躲避防毒引擎和調查人員的偵測。