## Взлом npm-аккаунта Axios: как за 3 часа RAT заразил 174 000 пакетов и почему NPM Audit не спас
Один взломанный аккаунт в npm за три часа превратился в канал для распространения удаленного трояна (RAT) на 174 000 пакетов JavaScript. Этот инцидент с библиотекой Axios обнажил критическую уязвимость в самой основе современной веб-разработки — цепочке поставок зависимостей. Стандартные инструменты безопасности, такие как NPM Audit, оказались слепы к атаке, которая использовала легитимный доступ для подмены содержимого существующих версий пакетов.

Атака началась с компрометации учетной записи одного из сопровождающих Axios в реестре npm. Вместо публикации нового вредоносного пакета злоумышленники модифицировали уже существующие, ранее опубликованные версии библиотеки. Это позволило трояну распространиться автоматически на все проекты, которые использовали эти версии и запускали процесс установки или сборки. Механика атаки эксплуатирует слепые пятна в типичных конвейерах CI/CD, которые часто не проверяют целостность уже закешированных или ранее установленных зависимостей.

Инцидент ставит под сомнение эффективность реактивных моделей безопасности, основанных на сканировании известных уязвимостей. Он демонстрирует системный риск для миллионов проектов, полагающихся на автоматическое обновление зависимостей и доверие к реестрам пакетов. Проблема выходит за рамки отдельной библиотеки, указывая на фундаментальную слабость в экосистеме, где компрометация одного аккаунта сопровождения может привести к массовому заражению. Это создает давление на команды DevOps и поставщиков платформ для внедрения более строгих мер верификации целостности пакетов на всех этапах жизненного цикла.
---
- **Source**: Habr
- **Sector**: The Lab
- **Tags**: кибербезопасность, npm, цепочка_поставок, JavaScript, уязвимость
- **Credibility**: unverified
- **Published**: 2026-04-17 11:22:25
- **ID**: 69342
- **URL**: https://whisperx.ai/en/intel/69342