Una grave compromissione della supply chain ha colpito Axios, nota libreria JavaScript utilizzata come client HTTP per l’interazione con API e servizi web. L’incidente è stato causato dalla compromissione (hijacking) dell’account NPM di un maintainer del progetto Axios. L’attaccante, dopo aver acquisito il controllo dell’utenza e modificato l’indirizzo e-mail, ha pubblicato manualmente le versioni malevole del pacchetto sul registro ufficiale.
Le versioni compromesse (1.14.1 per il ramo stabile e 0.30.4 per il ramo legacy) includevano un malware dropper progettato per installare un Remote Access Trojan (RAT) su sistemi Windows, macOS e Linux. L’attaccante ha eluso i controlli della pipeline automatizzata (GitHub Actions con OIDC) pubblicando manualmente i pacchetti, rompendo la catena di fiducia tra codice sorgente e artefatti distribuiti.
Particolarmente sofisticata la tecnica utilizzata: senza modificare direttamente il codice di Axios, è stata introdotta una dipendenza malevola (plain-crypto-js@4.2.1) sfruttando gli script di postinstall di NPM. Il payload, fortemente offuscato, contattava un server di Command and Control per scaricare componenti specifici per il sistema della vittima. Dopo l’infezione, il malware rimuoveva le proprie tracce, rendendo difficile il rilevamento tramite strumenti di auditing tradizionali.
L’impatto potenziale è rilevante: esfiltrazione di credenziali e configurazioni cloud, compromissione delle pipeline CI/CD, movimenti laterali nelle reti aziendali e persistenza a livello di sistema operativo anche dopo la rimozione delle dipendenze.
Le versioni malevole sono state ritirate dal registro NPM e il pacchetto utilizzato per l’iniezione sostituito con un security stub. Tuttavia, le organizzazioni che potrebbero aver installato tali versioni sono invitate ad agire tempestivamente: verificare le dipendenze, effettuare downgrade a versioni sicure, rigenerare credenziali e considerare compromessi gli host coinvolti, procedendo ove necessario alla loro bonifica completa.
L’incidente evidenzia ancora una volta la criticità della sicurezza nella supply chain del software e la necessità di rafforzare i controlli su identità, processi di pubblicazione e dipendenze di terze parti.
https://www.acn.gov.it/portale/en/w/supply-chain-attack-compromissione-del-pacchetto-npm-axios
