Хакери зламали npm-акаунт Джейсона Сааймана — головного розробника популярного JavaScript-пакету Axios, який щотижня завантажують понад 100 мільйонів разів, а щомісяця — близько 400 мільйонів. Зловмисники опублікували дві шкідливі версії пакету в реєстрі npm: [email protected] о 00:21 UTC і [email protected] о 01:00 UTC. Вони обійшли автоматичну перевірку походження через OpenID Connect і не прив’язали зміни до жодного коміту в GitHub, що мало б активувати сигнали тривоги. Також було змінено email у GitHub-акаунті Сааймана на [email protected], а повідомлення про злам видалено, щоб заблокувати відповідь іншого розробника DigitalBrainJS. У файл package.json додали шкідливу залежність plain-crypto-js@^4.2.1 без змін у самому коді Axios. Після встановлення запускалося приховане ПЗ, яке зверталося до сервера керування і завантажувало платформо-специфічні корисні навантаження. Вікно вразливості тривало майже три години.

На Windows шкідливе ПЗ використовувало VBScript і PowerShell, запускало прихований командний рядок, копіювало PowerShell у %PROGRAMDATA%\wt.exe для постійного доступу та завантажувало додаткові скрипти. На macOS застосовувало AppleScript, завантажувало бінарний файл у /Library/Caches/com.apple.act.mond, робило його виконуваним і запускало у фоні. На Linux завантажувало Python-скрипт у /tmp/ld.py і запускало його через nohup. Після зараження скрипт дозволяв виконувати команди, забезпечувати постійний доступ, завантажувати бінарні файли в base64, переглядати каталоги та запускати команди через /bin/sh або AppleScript. Потім він сам себе видаляв, повертав чисту версію package.json і приховував сліди. Дослідники з Endor Labs, Socket, Aikido, StepSecurity та OpenSourceMalware вивчали цей інцидент. Зловмисники підготували залежність за 18 годин до атаки. Google Threat Intelligence та Mandiant пов’язують атаку з північнокорейською групою UNC1069, яка раніше цілила на криптобіржі, розробників у фінансових установах і венчурних фондах.