Únos účtu Axios v npm: RAT přes phantom závislost a únik kódu Claude
- března 2026 útočníci převzali npm účet správce Axios (jasonsaayman) a zveřejnili škodlivé verze 1.14.1 (latest) a 0.30.4 (legacy). Balíčky distribuovaly RAT trojského koně po tři hodiny — od 00:21 do 03:15 UTC. S 100 miliony stažení týdně mohl být dopad masivní.
Kód Axios zůstal nedotčený. Útočníci přidali do package.json závislost [email protected] — balíček vytvořený den před útokem. Tato závislost se v kódu neimportuje, funguje jako phantom závislost.
Mechanismus útoku
Instalace probíhá podle schématu:
npm installstáhne všechny závislosti zpackage.json.plain-crypto-jsspustípostinstallskript.- Skript stáhne payload z C2 serveru.
- Rozvine se multiplatformní RAT pro macOS, Windows, Linux.
- Skript obnoví čistý
package.json, maskuje stopy.
Standardní code review problém neodhalí: JS soubory jsou čisté, podezřelá závislost je viditelná pouze v manifestu. Skenery musí kontrolovat postinstall skripty tranzitivních balíčků.
Okamžité kroky
| Větev | Škodlivá verze | Bezpečná verze |
|-------|----------------|-----------------|
| latest | 1.14.1 | 1.14.0 |
| legacy | 0.30.4 | 0.30.3 |
Zkontrolujte:
package-lock.json/yarn.lockna škodlivé verze.- Přítomnost
plain-crypto-jsv závislostech.
Pokud nalezeno — systém je infikován. Rotujte klíče, tokeny, tajemství. IOC zveřejnili StepSecurity, Socket a další.
Atribuováno UNC1069/Lazarus — typický supply-chain útok přes únos účtu bez kompromitace npm registru.
Únik zdrojových kódů Claude Code přes sourcemap
Ten samý den Anthropic zveřejnila @anthropic-ai/[email protected] se 59,8 MB souborem cli.js.map. Sourcemap odhalil ~512 000 řádků TypeScript, 1900 souborů, system prompty, logiku paměti, plánování a neoznámené funkce.
Příčina a důsledky
Chyba v .npmignore: source maps nebyly z balíčku vyloučeny. Sourcemap odkazoval na veřejný R2 bucket Anthropic. Kód byl rychle zkopírován na GitHub po hlášení Chaofana Shou.
Anthropic verzi odstranila, vydala záplatu, ale zrcadla se rozšířila. Nejedná se o hack, ale o build chybu.
Clean-room implementace: od úniku k otevřenému projektu
Sigrid Jin (instructkr) přepsal architekturu Claude Code v Pythonu bez kopírování zdrojových kódů, vyhnul se DMCA. Použil oh-my-codex pro zrychlení.
Implementoval:
- Agent-harness.
- Nástroje.
- Paměť a plánování.
- Swarms podagenty.
Repozitář claw-code získal 50 000 hvězd za 2 hodiny, 100 000+ za den — rekord GitHubu. Port na Rust je také populární. Projekt je prezentován jako vylepšené harness nástroje.
Co je důležité
- Phantom závislost v Axios: RAT se maskuje jako krypto knihovna, aktivuje se postinstall, multiplatformní.
- Únik Claude Code: 512k řádků přes sourcemap kvůli chybějícímu .npmignore.
- Clean-room přístup: Přepsání architektury v Pythonu/Rust obchází DMCA, vytváří otevřený ekvivalent.
- Kontrola lock souborů: Povinná pro detekci 1.14.1/0.30.4 a plain-crypto-js.
- Audit npm účtů: Únos správců — vektor pro supply-chain útoky.
— Editorial Team
Zatím žádné komentáře.