$ cat axios-hack-korea-polnocna.mdx

Axios zhakowany przez Koreę Północną - 100M pobrań tygodniowo

9 kwi 2026 · #bezpieczenstwo #npm #axios #korea-polnocna #supply-chain #hakerzy #aitu

100 milionów pobrań tygodniowo. Przez 3 godziny jedna z najpopularniejszych bibliotek JavaScript na świecie serwowała złośliwe oprogramowanie. Za atakiem stoi północnokoreański wywiad.

Atak na axios npm Korea Północna

Co to jest axios i dlaczego to ważne

axios to biblioteka JavaScript do wysyłania zapytań HTTP - czyli do komunikacji między aplikacją a serwerem. Używa jej prawie każdy projekt webowy. 100 milionów pobrań tygodniowo z rejestru npm to nie jest przesada - to rzeczywistość.

Jeśli budujesz aplikację webową i pobierasz zależności z npm, jest bardzo duże prawdopodobieństwo, że masz axios w projekcie. Może nawet o tym nie wiesz - może jest zależnością zależności.

Jak to się stało

Atakujący przejął konto opiekuna projektu - “jasonsaayman” - i opublikował dwie złośliwe wersje:

  • axios 1.14.1
  • axios 0.30.4

Obie wersje zawierały ukrytą zależność: plain-crypto-js@4.2.1. Ta paczka instalowała RAT - czyli narzędzie zdalnego dostępu (program umożliwiający hakerowi kontrolę nad komputerem ofiary).

Po uruchomieniu złośliwy kod kontaktował się z serwerem hakerów w ciągu 2 sekund. Działał na Windows, Mac i Linux.

Dwie wersje - zarówno gałąź 1.x jak i 0.x - zostały skompromitowane w ciągu 39 minut. Kod był przygotowany 18 godzin wcześniej i czekał na moment wdrożenia.

Jak szybko to wykryto

Ekspozycja trwała ok. 3 godziny. Złośliwe wersje zostały usunięte, ale ten czas wystarczył, żeby trafić do pipeline’ów deweloperów na całym świecie.

Ciekawa szczegół: złośliwy kod zawierał mechanizm samo-usunięcia - po wykonaniu zadania śladów było mniej.

Kto za tym stoi

Dwie niezależne firmy przeprowadziły śledztwo:

  • Microsoft Security zidentyfikował grupę jako Sapphire Sleet
  • Google (jednostka Mandiant) powiązała atak z grupą UNC1069

Obie grupy są powiązane z wywiadem Korei Północnej. To nie jest supozycja - to jest ocena oparta na technikach, infrastrukturze i wzorcach ataku, które były wcześniej obserwowane w operacjach tego aktora.

Dlaczego akurat axios

Ataki na łańcuch dostaw oprogramowania (czyli atakowanie popularnych bibliotek zamiast konkretnych celów) są coraz częstsze, bo dają ogromny zwrot z inwestycji.

Zamiast atakować jedną firmę - atakujesz bibliotekę, której używa milion firm. Jeden skompromitowany opiekun projektu = potencjalny dostęp do setek tysięcy projektów.

Korea Północna specjalizuje się w kradzieży kryptowalut i danych finansowych. RAT zainstalowany w infrastrukturze deweloperskiej to dobry punkt startowy do głębszej infiltracji.

Moja perspektywa

Ten atak to podręcznikowy przykład dlaczego bezpieczeństwo łańcucha dostaw oprogramowania jest coraz poważniejszym problemem.

Większość deweloperów instaluje paczki bez weryfikacji - npm install i lecimy. Nikt nie sprawdza co jest w każdej zależności. Nikt nie może - są ich setki.

Moim zdaniem ten incydent powinien przyspieszyć rozmowy o podpisywaniu kryptograficznym paczek i weryfikacji tożsamości opiekunów projektów. Ale wiem, że branża jest powolna w tego typu zmianach.

Sprawdź historię zmian (changelog) używanych bibliotek jeśli instalujesz aktualizacje. Szczególnie przy bibliotekach z setkami milionów pobrań.

Źródła

  • The Hacker News - Axios npm package compromised (30.03.2026)
  • Microsoft Security - Sapphire Sleet attribution report (01.04.2026)
  • Bloomberg - North Korea behind axios npm attack (31.03.2026)
  • Elastic Security Labs - Technical analysis of axios malware (01.04.2026)
  • SANS - axios supply chain incident summary (01.04.2026)
  • Malwarebytes - axios RAT dropper analysis (31.03.2026)
$ cd ../