Axios нээлттэй эхийн төсөл халдлагад өртөж, сая сая хэрэглэгчид хорт код түгээх хэрэгсэл боллоо

2026 оны 3 дугаар сарын 31-ний өдөр JavaScript-ийн хамгийн алдартай HTTP сан болох Axios-ийг онилсон нийлүүлэлтийн гинжин хэлхээний (supply chain attack) томоохон халдлага гарлаа. Халдлага үйлдэгчид тус төслийн үндсэн хөгжүүлэгчийн npm эрхийг гартаа авч, хорт код бүхий хувилбаруудыг нийтэд тараасан байна.

Халдлагын механизм

Хакерууд Axios-ийн ахлах хөгжүүлэгч @jasonsaayman-ы npm бүртгэлд нэвтэрч чадсанаар GitHub-ийн аюулгүй байдлын хяналт болон код хянах (code review) шат дамжлагуудыг алгасан, хортой хувилбаруудыг npm сан руу шууд байршуулжээ.

• Нөлөөлөлд өртсөн хувилбарууд: 1.14.1 болон 0.30.4

• Хортой хамаарал (Dependency): plain-crypto-js@4.2.1

• Payload: Windows, macOS болон Linux системүүдийг зэрэг онилсон алсын зайнаас удирдах Trojan (RAT).

Хорт код хэрхэн ажилладаг вэ?

Халдлага үйлдэгчид илрэхээс сэргийлж хэд хэдэн үе шаттай тактик ашигласан байна:

1. Төөрөгдүүлэлт: Эхлээд plain-crypto-js сангийн "цэвэр" хувилбарыг (v4.2.0) гаргаж, автомат хяналтын системүүдийн сэжгийг төрүүлэхгүй байх нөхцөлийг бүрдүүлсэн.

2. Инъекци (Injection): Дараа нь v4.2.1 хувилбарт postinstall скрипт нэмж гаргасан. Хөгжүүлэгч эсвэл автомат систем npm install хийх үед уг скрипт нь setup.js файлыг ажиллуулж эхэлнэ.

3. Гүйцэтгэл: Malware нь тухайн төхөөрөмжийн үйлдлийн системийг таньж, тохирох хорт файлыг татдаг:

   • Windows: PowerShell ашиглан мэдээлэл олборлох скрипт ажиллуулна.

   • macOS: Системийн кэш файл мэтээр (com.apple.act.mond) зүсээ хувиргаж, AppleScript-ээр дамжуулан ажиллана.

   • Linux: Python скрипт ашиглан хакерт системд нэвтрэх "remote shell" эрх олгоно.

4. Мөрөө баллах: Хорт код сууж дуусмагц өөрийн setup.js файлыг устгаж, package.json доторх сэжигтэй заавруудыг цэвэрлэж, өөрийгөө нуун далдлах үйлдэл хийдэг байна.

Яаралтай авах арга хэмжээ

Хэрэв та Axios ашигладаг бол дараах алхмуудыг нэн даруй хэрэгжүүлнэ үү:

• Лог файлуудаа шалгах: Өөрийн төслийн package-lock.json, yarn.lock эсвэл pnpm-lock.yaml файлаас Axios 1.14.1, 0.30.4 болон plain-crypto-js гэсэн бичиглэл байгаа эсэхийг нягтлах.

• Хувилбарыг ухраах (Downgrade): Сэжигтэй хувилбаруудыг устгаж, баталгаатай 1.14.0 эсвэл 0.30.3 хувилбар руу шилжих.

• Нууц мэдээллээ шинэчлэх: Хэрэв хорт код бүхий хувилбарыг суулгасан бол систем дэх бүх API түлхүүр, хүрээлэн буй орчны хувьсагчууд (Env variables) болон SSH эрхүүдийг хулгайлагдсан гэж үзэж, яаралтай солих шаардлагатай.

• Сүлжээний хориг: Халдлага үйлдэгчдийн ашиглаж буй sfrclak[.]com домэйныг сүлжээний түвшинд хаах.

Уг хортой хувилбарууд илэрснээс хойш 3 цагийн дотор npm сангаас устгагдсан хэдий ч, тухайн богино хугацаанд системээ шинэчилсэн олон мянган төсөл эрсдэлд ороод байна.