Щойно я побачив досить серйозну подію у сфері безпеки ланцюга постачання. Бібліотека axios — найпопулярніший клієнт HTTP для JavaScript — була атакована.

Простіше кажучи, зловмисники викрали токен доступу головного підтримувача axios на npm і випустили два шкідливі пакети з віддаленим доступом (версії 1.14.1 і 0.3.4), спрямовані на macOS, Windows і Linux. Ці зловмисні версії перебували у реєстрі npm близько 3 годин, поки їх не видалили.

Ще більш тривожною є масштаб впливу. За даними компанії з безпеки Wiz, щотижневе завантаження axios перевищує 100 мільйонів разів, і він використовується приблизно у 80% хмарних і кодових середовищ. Це означає, що потенційна кількість уразливих систем може бути дуже великою. Компанія Huntress виявила перші зараження всього через 89 секунд після запуску шкідливого пакета і підтвердила, що щонайменше 135 систем були зламані під час вікна виявлення.

Найцікавіше — проект axios вже впровадив механізм довіреної публікації OIDC і докази трасування SLSA, що є сучасними заходами безпеки. Але зловмисники все одно змогли обійти їх. Розслідування показало, що проблема криється у налаштуваннях — під час увімкнення OIDC проект зберігав традиційний довгостроковий токен NPM_TOKEN, і npm за замовчуванням використовував його при співіснуванні з OIDC. В результаті зловмисникам не потрібно було обходити OIDC — вони просто скористалися старим токеном і успішно опублікували пакети.

Що це означає? Навіть найновіші й найсучасніші механізми безпеки — марна справа без правильної конфігурації. Приклад axios нагадує нам, що безпека ланцюга постачання — це не лише технічна проблема, а й питання правильного налаштування. Якщо ваш проект або застосунок залежить від таких широко використовуваних відкритих бібліотек, можливо, вже час перевірити свої залежності.