Útok na dodávateľský reťazec cez NPM knižnicu Axios

V období od 31. marca do 7. apríla 2026 bol zaznamenaný sofistikovanýútok na dodávateľský reťazec zameraný na populárny npm balík Axios. Útok je pripisovaný severokórejskej skupine UNC1069, ktorá kompromitovala účet správcu balíka a publikovala škodlivé verzie knižnice. Útočníci použili verzie 1.14.0 a 0.30.3 Axios, v ktorých pridali škodlivú závislosť plain-crypto-js do súboru package.json.

Falošná závislosť po inštalácii automaticky nasadzovala malvér typu Remote Access Trojan (RAT), ktorý umožňoval útočníkom vzdialený prístup k napadnutým systémom a exfiltráciu citlivých údajov.

Napriek krátkemu trvaniu incidentu predstavuje tento útok vysoké riziko vzhľadom na masové využitie knižnice Axios.

Časová os útoku

30.3.2026 – Príprava

Do registri NPM bola pridaná knižnica plain-crypto-js@4.2.0, ktorá obsahovala funkcionalitu pre nasadenie malvéru RAT. O niekoľko hodín bola publikovaná jej nová verzia plain-crypto-js@4.2.1. Do knižnice Axios ju pridali ako falošnú závislosť, ktorá imituje legitímnu crypto-js@4.2.0.

31.3.2026 – Začiatok incidentu

Útočníci získali prístup k účtu udržiavateľa jasonsaayman na platforme NPM a publikovali škodlivé verzie knižnice Axios 1.14.1 a 0.30.4. Inštaláciou podvrhnutých verzií došlo k nasadeniu malvéru RAT, funkčného na operačných systémoch macOS, Windows aj Linux. Knižnice boli dostupné na NPM iba niekoľko hodín.

2.4.2026 – Atribúcia

Tím Google Threat Intelligence Group atribuoval útok severekórejskej skupine UNC1069. Skupinu prezradil malvér identifikovaný ako WAVESHAPER.V2, tvoriaci zadné vrátka, ktorý útočníci nasadili s pomocou falošnej závislosti plain-crypto-js. Tiež použili rovnakého poskytovateľa pripojenia ASN a uzol služby AstrillVPN, ktoré v minulosti využil tím UNC1069.

Odporúčania:

• Bezodkladne vymeňte infikované verzie knižnice Axios (1.14.1 a 0.30.4) za bezpečné verzie.
• Overte prítomnosť závislosti plain-crypto-js v spojitosti s knižnicou Axios vo vašej infraštruktúre a odstráňte ju z priečinka node_modules. Závislosť plain-crypto-js nie je legitímnou súčasťou žiadnej verzie Axios.
• Overte prítomnosť indikátorov kompromitácie vo Vašej infraštruktúre (tu a tu).
• Vykonajte audit svojej CI/CD infraštruktúry.
• Pravidlo YARA pre detekciu hrozby nájdete tu.

Zdroje:

• https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan
• https://thehackernews.com/2026/03/axios-supply-chain-attack-pushes-cross.html
• https://opensourcemalware.com/blog/axios-compromised
• https://www.endorlabs.com/learn/npm-axios-compromise
• https://cloud.google.com/blog/topics/threat-intelligence/north-korea-threat-actor-targets-axios-npm-package