Zpět na domů

RAT v Axios npm: phantom-závislost a únik Claude Code

31. března 2026 byly zaznamenány útoky na npm: RAT v Axios přes phantom-závislost a únik zdrojových kódů Claude Code. Rozbor mechanismů, kontrol a clean-room přepsání architektury.

Trojský kůň v Axios a 500k řádků Claude Code: rozbor útoků npm
Advertisement 728x90

Únos účtu Axios v npm: RAT přes phantom závislost a únik kódu Claude

  • března 2026 útočníci převzali npm účet správce Axios (jasonsaayman) a zveřejnili škodlivé verze 1.14.1 (latest) a 0.30.4 (legacy). Balíčky distribuovaly RAT trojského koně po tři hodiny — od 00:21 do 03:15 UTC. S 100 miliony stažení týdně mohl být dopad masivní.

Kód Axios zůstal nedotčený. Útočníci přidali do package.json závislost [email protected] — balíček vytvořený den před útokem. Tato závislost se v kódu neimportuje, funguje jako phantom závislost.

Mechanismus útoku

Instalace probíhá podle schématu:

  • npm install stáhne všechny závislosti z package.json.
  • plain-crypto-js spustí postinstall skript.
  • Skript stáhne payload z C2 serveru.
  • Rozvine se multiplatformní RAT pro macOS, Windows, Linux.
  • Skript obnoví čistý package.json, maskuje stopy.

Standardní code review problém neodhalí: JS soubory jsou čisté, podezřelá závislost je viditelná pouze v manifestu. Skenery musí kontrolovat postinstall skripty tranzitivních balíčků.

Google AdInline article slot

Okamžité kroky

| Větev | Škodlivá verze | Bezpečná verze |

|-------|----------------|-----------------|

| latest | 1.14.1 | 1.14.0 |

Google AdInline article slot

| legacy | 0.30.4 | 0.30.3 |

Zkontrolujte:

  • package-lock.json / yarn.lock na škodlivé verze.
  • Přítomnost plain-crypto-js v závislostech.

Pokud nalezeno — systém je infikován. Rotujte klíče, tokeny, tajemství. IOC zveřejnili StepSecurity, Socket a další.

Google AdInline article slot

Atribuováno UNC1069/Lazarus — typický supply-chain útok přes únos účtu bez kompromitace npm registru.

Únik zdrojových kódů Claude Code přes sourcemap

Ten samý den Anthropic zveřejnila @anthropic-ai/[email protected] se 59,8 MB souborem cli.js.map. Sourcemap odhalil ~512 000 řádků TypeScript, 1900 souborů, system prompty, logiku paměti, plánování a neoznámené funkce.

Příčina a důsledky

Chyba v .npmignore: source maps nebyly z balíčku vyloučeny. Sourcemap odkazoval na veřejný R2 bucket Anthropic. Kód byl rychle zkopírován na GitHub po hlášení Chaofana Shou.

Anthropic verzi odstranila, vydala záplatu, ale zrcadla se rozšířila. Nejedná se o hack, ale o build chybu.

Clean-room implementace: od úniku k otevřenému projektu

Sigrid Jin (instructkr) přepsal architekturu Claude Code v Pythonu bez kopírování zdrojových kódů, vyhnul se DMCA. Použil oh-my-codex pro zrychlení.

Implementoval:

  • Agent-harness.
  • Nástroje.
  • Paměť a plánování.
  • Swarms podagenty.

Repozitář claw-code získal 50 000 hvězd za 2 hodiny, 100 000+ za den — rekord GitHubu. Port na Rust je také populární. Projekt je prezentován jako vylepšené harness nástroje.

Co je důležité

  • Phantom závislost v Axios: RAT se maskuje jako krypto knihovna, aktivuje se postinstall, multiplatformní.
  • Únik Claude Code: 512k řádků přes sourcemap kvůli chybějícímu .npmignore.
  • Clean-room přístup: Přepsání architektury v Pythonu/Rust obchází DMCA, vytváří otevřený ekvivalent.
  • Kontrola lock souborů: Povinná pro detekci 1.14.1/0.30.4 a plain-crypto-js.
  • Audit npm účtů: Únos správců — vektor pro supply-chain útoky.

— Editorial Team

Advertisement 728x90

Číst dál