Поделиться
Вина за взлом одной из самых востребованных библиотек JavaScript возложена на северокорейских хакеров
Северокорейские хакеры атаковали пакет Axios — популярный ИТ-компонент, который используется для связи приложений и веб-сервисов. Злоумышленники добавили вредоносный код в обновление Axios, выпущенное 30 марта 2026 г. По информации Google, за кибератакой стоит якобы хакерская группировка, которую сотрудники определили как UNC1069 и связывают их кибератаки с заказами от северокорейских властей.
Кибератака на библиотеку
Северокорейские хакеры атаковали пакет Axios — одну из самых востребованных библиотек для языка программирования JavaScript, об этом предупреждает группа анализа ИТ-угроз Google. В ночь на 1 апреля 2026 г. хакеры взломали Axios, по версии аналитиков ИТ-компании, кибератаку совершила якобы северокорейская хакерская группировка UNC1069.
Сам JavaScript входит в топ-10 самых популярных в мире, а это означает, что на нем пишут десятки миллионов ИТ-разработчиков по всей планете, о чем писал CNews. ИТ-компрометация Axios делает каждого из них потенциальной жертвой хакеров.
Google и независимые исследователи в области кибербезопасности сообщили об успешной кибератаке на популярную Open Source библиотеку Axios, которая широко используется для осуществления HTTP-запросов в приложениях и веб-сервисах. По данным агентства Reuters, за проведением кибератаки стоит якобы хакерская группа, которую специалисты Google отслеживают под обозначением UNC1069 и связывают с Северной Кореей. Кибератака, предположительно, была направлена на компрометацию цепочки поставок программного обеспечения (ПО) через зараженное обновление библиотеки.
ПО с открытым исходным кодом или Open Source — это модель ИТ-разработки ПО, при которой исходный код доступен для просмотра, изменения и распространения любым желающим. Эта концепция возникла в 1980 г., когда программисты начали осознавать преимущества совместной работы и обмена знаниями.
Популярный у всех ИТ-компонент
Axios — это не публичный пользовательский ИТ-продукт, а вспомогательная библиотека, которая работает «за кадром» и используется во множестве повседневных сценариев ИТ-разработки. По оценке исследователей, потенциальный охват библиотеки может исчисляться миллионами программных окружений. При этом 2 апреля 2026 г. остается неизвестным, сколько именно зараженных обновлений библиотеки успели установить пользователи и ИТ-разработчики. Данный фактор существенно осложняет оценку масштаба возможного ИТ-инцидента и определение круга пострадавших систем.
Отдельно отмечается, что вредоносные версии библиотеки были подготовлены одновременно для трех основных операционных систем (ОС): macOS, Windows и Linux. Данный факт существенно усугубляет серьезность ИТ-инцидента. Речь идет не о локальной ИТ-уязвимости в рамках одной ИТ-платформы, а о целенаправленной попытке максимально широко использовать доверие к популярному Open Source ИТ-компоненту для проведения кросс-платформенной кибератаки. Такая многоплатформенная подготовка вредоносного кода свидетельствует о высоком уровне планирования и профессионализме злоумышленников, признают исследователи по информационной безопасности (ИБ) Google Threat Intelligence Group (GTIG).
Этапы внедрения
Злоумышленники внедрили вредоносный код в обновление библиотеки Axios, выпущенное 30 марта 2026 г. Хотя впоследствии вредоносный код был удален из репозитория, до момента обнаружения и исправления он мог предоставить атакующим доступ к данным на компьютере жертвы, включая учетные данные. Полученные учетные данные в дальнейшем могут быть использованы для проведения дополнительных кибератак, кражи конфиденциальной информации и латерального перемещения (движения по ИТ-инфраструктуре) внутри сети жертвы. Таким образом, ИТ-инцидент представляет серьезную ИТ-угрозу для организаций и ИТ-разработчиков, использующих данную библиотеку.
Механика кибератаки устроена многослойно, в зараженные версии Axios была добавлена вредоносная зависимость под названием plain-crypto-js. Этот пакет работал как транспортное средство для доставки полезной нагрузки. В его файле package.json был прописан хук postinstall, который незаметно запускался в фоне при установке Axios. Программист, подключивший обновленный Axios в свой ИТ-проект, автоматически активировал цепочку заражения, даже не зная об этом.
Первой стадией заражения выступал Silkbell — обфусцированный JavaScript-дроппер, замаскированный под файл setup.js. Он определял ОС жертвы и загружал соответствующую полезную нагрузку с удаленного сервера. Для Windows это был вредонос на PowerShell, для macOS — бинарный файл C++ Mach-O, для Linux — бэкдор на Python. После выполнения своей задачи Silkbell самоуничтожался: удалял себя и подменял package.json пакета plain-crypto-js на чистую версию, из которой был убран хук postinstall. Это затрудняло посмертный анализ — на первый взгляд в ИТ-системе не оставалось следов ИТ-компрометации файловой ИТ-системы.
Основной бэкдор, который доставлялся на зараженные машины, получил обозначение Waveshaper.v2, а его предшественник, оригинальный Waveshaper, уже применялся UNC1069 против криптовалютных компаний — это был C++ бэкдор под macOS и Linux с сырым бинарным протоколом связи с командным сервером. Обновленная же версия перешла на JSON для коммуникации с C2 и обращается к серверу управления каждые 60 секунд. Связь между двумя версиями установили в Elastic Security Labs, которые первыми заметили пересечения в функциональности.
Главный архитектор ПО в компании ReversingLabs Томислав Перичин (Tomislav Pericin) обратил внимание на масштабируемость операции. Техническая реализация кибератаки намекает на то, что аналогичные ИТ-операции могут быть развернуты или уже развернуты через другие пакетные менеджеры — PyPI и NuGet. Фактически, если одна и та же группировка применяет кросс-платформенные полезные нагрузки и понимает, как устроены процессы сборки в разных экосистемах, один npm-пакет может быть лишь верхушкой айсберга.
Исследователи Google называют ИТ-инцидент supply chain attack — атакой на цепочку поставок. Смысл в том, что пользователю не нужно делать ничего подозрительного: вредоносный код приходит через уже доверенный ИТ-компонент, который используется в работе онлайн-сервисов и приложений. Как отметил исследователь SentinelOne Том Хегель (Tom Hegel), проблема в том, что софт, которому вы уже доверяете, делает это за атакующего.
Возможные цели
Google связывает хакерскую группу UNC1069 с проведением операций против криптовалютного и финансового секторов, информировал CNews. По данным американских властей, Северная Корея систематически использует похищенные криптоактивы для финансирования своих государственных программ и обхода международных санкций с 2022 г.
В SentinelOne обнаружили, что эта же группа использовала вредоносное ПО для macOS в кибератаках начиная с 2023 г. В феврале 2026 г. эту же группу связывали с кибератакой на криптовалютную компанию — тогда хакеры использовали поддельную встречу в Zoom. Другие исследователи заметили, что примененные в кибератаке на Axios вредоносные программы похожи на штамм Waveshaper, который использовался в предыдущей кибератакой с фальшивым Zoom.
На этом фоне кибератака на популярную Open Source библиотеку Axios воспринимается не как единичный ИТ-инцидент, а как элемент более широкой и целенаправленной стратегии по компрометации чужой ИТ-инфраструктуры через взлом доверенных зависимостей т.е. supply chain attack. Такая тактика позволяет злоумышленникам с относительно небольшими усилиями получить доступ к большому количеству потенциальных жертв одновременно.
Короткая ссылка
