.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Il 30 marzo 2026, un attacco alla supply chain ha colpito Axios, un client HTTP JavaScript ampiamente utilizzato per applicazioni web e Node.js. Alcuni ricercatori hanno scoperto che le versioni 1.14.1 e 0.30.4 di Axios pubblicate nel registro npm sono state compromesse a seguito del presunto takeover dell’account di un manutentore legittimo. Un attaccante ha pubblicato aggiornamenti non autorizzati del pacchetto, apparentemente legittimi.
Le versioni compromesse hanno introdotto una dipendenza malevola che viene eseguita durante l’installazione e distribuisce un trojan di accesso remoto (RAT) multipiattaforma. Il malware comunica con un server di comando e controllo (C2) per recuperare payload di secondo livello specifici per ciascuna piattaforma. Dopo l’esecuzione, il malware tenta di rimuovere le tracce dell’installazione e sostituisce i propri metadati con una versione pulita per eludere il rilevamento forense.
Osservazioni di Sophos
L’attività legata a questa minaccia è stata rilevata per la prima volta nella telemetria dei clienti Sophos intorno alle 00:45 UTC del 31 marzo, con un impatto diffuso entro le 01:00 UTC. Sono stati coinvolti sistemi macOS, Windows e Linux, ma al momento della pubblicazione non vi sono evidenze di attività successive da parte degli aggressori.
L'analisi condotta da Counter Threat Unit™ (CTU) sulla violazione di Axios su npm ha rivelato elementi riconducibili ad attività precedenti attribuite al gruppo di minaccia NICKEL GLADSTONE. Questo gruppo, sponsorizzato da uno Stato, si concentra sulla generazione di entrate per il regime nordcoreano. Le tracce includono metadati forensi e modelli di comando e controllo (C2) identici, oltre a collegamenti con malware utilizzato esclusivamente da NICKEL GLADSTONE. Sulla base di queste tracce, è altamente probabile che NICKEL GLADSTONE sia responsabile degli attacchi ad Axios.
Azioni raccomandate
I ricercatori CTU™ raccomandano alle organizzazioni di verificare i pacchetti Axios presenti nei propri ambienti e determinare se sono state installate versioni potenzialmente compromesse. Le aziende dovrebbero aggiornare i pacchetti vulnerabili a versioni affidabili o applicare le opportune misure di mitigazione. Si consiglia inoltre di esaminare i log di sistema e applicativi per individuare eventuali attività anomale che possano indicare una compromissione.
Protezioni e indicatori di minaccia
Le seguenti protezioni di Sophos sono correlate a questa minaccia:
- JS/Agent-BLYB
- Troj/PSAgent-CN
- Troj/PyAgent-BZ
- OSX/NukeSped-CB
- WIN-EVA-PRC-RENAMED-POWERSHELL-1
Gli indicatori di compromissione riportati nella Tabella 1 possono essere utilizzati per rilevare attività associate a questa minaccia. Si noti che gli indirizzi IP possono essere riassegnati. Domini, URL e indirizzi IP potrebbero contenere contenuti dannosi: valutare attentamente i rischi prima di aprirli in un browser.
Leggi tutto l’articolo: https://www.sophos.com/en-us/blog/axios-npm-package-compromised-to-deploy-malware