Axios供应链攻击事件再追踪:线索直指Lazarus组织
Contents
Axios供应链攻击事件再追踪:线索直指Lazarus组织
此前,我们发布了《Axios npm供应链攻击威胁分析报告》,系统性披露了攻击者劫持维护者账号、在package[.]json中注入“幽灵依赖”plain-crypto-js@4[.]2.1、通过postinstall钩子释放跨平台RAT等核心技术细节,并给出了详细的时间线、IOC指标及应急响应建议,迅速成为行业内重要的参考资料。
本次报告,我们继续对事件进行进一步的追踪披露,并结合360安全大脑的最新威胁情报数据,进一步开展归因分析。
一、概述
axios是一个基于Promise的HTTP客户端,在JavaScript和Node.js 生态系统中被广泛使用。
2026年3月30日,axios遭遇供应链攻击。攻击者成功劫持了维护者账户(jasonsaayman),在npm官方仓库发布了两个恶意版本(axios@1[.]14.1和axios@0[.]30.4),通过注入恶意依赖plain-crypto-js@4[.]2.1,该包此前并不存在,且从未被axios代码实际导入。其唯一目的是执行一个安装后脚本,该脚本会释放并运行一个针对macOS、Windows和Linux的跨平台远程控制木马(RAT)。恶意版本在npm上存活约3小时后被下架。
结合360安全大脑数据,我们将axios入侵事件与我们跟踪的一起Lazarus组织活动关联起来,二者使用多处相同的命名及相似代码结构。同时,axios入侵事件使用的样本与早期被披露的RustBucket恶意组件存在关联。因此我们认为此次axios入侵事件归属到Lazarus组织。
Lazarus组织长期通过感染npm包的方式进行供应链攻击,依据以往攻击手法,攻击人员预先通过求职/招聘/面试等方式向开发人员投递钓鱼链接/被感染的工程项目,致使开发人员被攻击,随后攻击者再通过窃取开发人员账号发布被污染的工程项目,以实现供应链攻击。
二、归属研判
在我们持续监控Lazarus组织的活动中,该组织发起了一项攻击活动,在该活动中,受害者被从消息平台例如Telegram引诱到会议相关诱饵中,例如Zoom会议,随后下发及诱导执行PowerShell相关脚本从而可以多平台上执行实时命令和窃取凭据。Daylight也披露过同类活动,将其跟踪为GhostCall活动。
在之前攻击活动中,攻击者使用的样本(ea3192f64b9988889d5f8c61be637d2a)名为“c:\programdata\system.bat”,从恶意域名microsmeet[.]xyz和bluyy[.]com下发载荷。经过分析比对axios入侵事件们发现:
样本的命名与命令行基本一致;
建立的注册表项 Run 项均是MicrosoftUpdate;
与Daylight报告披露的Lazarus组织的基础设施一致。
图片
图1 089e2872016f75a5223b5e02c184dfec与ea3192f64b9988889d5f8c61be637d2a样本命令行一致
因此我们以强烈的信心将axios入侵事件与我们持续跟踪的Lazarus组织活动(也称为GhostCall活动)关联起来。
其次,在2023年4月21日的报告中,Jamf Threat Lab披露了名为“RustBucket”的 macOS 恶意软件变种。该报告披露第三阶段载荷(182760cbe11fa0316abfb8b7b00b63f83159f5aa)包含webT模块。
图片
图2 RustBucket样本模块信息
在分析axios入侵事件,我们提取了macOS平台样本的构建信息,可以看出项目名称为macWebT,与上文webT字符串同类。
/Users/mac/Desktop/Jain_DEV/client_mac/macWebT/macWebT/
/Users/mac/Library/Developer/Xcode/DerivedData/macWebT-hlbytmqtodqtmmfrlgcunsjzzmop/Build/Intermediates.noindex/macWebT.build/Release/macWebT.build/Objects-normal/arm64/main.o (raw binary string)
/Users/mac/Library/Developer/Xcode/DerivedData/macWebT-hlbytmqtodqtmmfrlgcunsjzzmop/Build/Intermediates.noindex/macWebT.build/Release/macWebT.build/Objects-normal/x86_64/main.o (raw binary string)
因此,我们认为此次axios入侵事件是Lazarus组织所为。
三、处置建议
参照此前报告:《Axios npm供应链攻击威胁分析报告》
附录 IOCs
kenaikoda[.]com
teams.onlivecall[.]com
23.254.204[.]101:80
3f47643c7a5cbf132f46b4cba75d1aa3
db07741e586bfae526730c592a2ffe6a
ea3192f64b9988889d5f8c61be637d2a
41372946fe231c73750428700f6015fb
此前,我们发布了《Axios npm供应链攻击威胁分析报告》,系统性披露了攻击者劫持维护者账号、在package[.]json中注入“幽灵依赖”plain-crypto-js@4[.]2.1、通过postinstall钩子释放跨平台RAT等核心技术细节,并给出了详细的时间线、IOC指标及应急响应建议,迅速成为行业内重要的参考资料。
本次报告,我们继续对事件进行进一步的追踪披露,并结合360安全大脑的最新威胁情报数据,进一步开展归因分析。
一、概述
axios是一个基于Promise的HTTP客户端,在JavaScript和Node.js 生态系统中被广泛使用。
2026年3月30日,axios遭遇供应链攻击。攻击者成功劫持了维护者账户(jasonsaayman),在npm官方仓库发布了两个恶意版本(axios@1[.]14.1和axios@0[.]30.4),通过注入恶意依赖plain-crypto-js@4[.]2.1,该包此前并不存在,且从未被axios代码实际导入。其唯一目的是执行一个安装后脚本,该脚本会释放并运行一个针对macOS、Windows和Linux的跨平台远程控制木马(RAT)。恶意版本在npm上存活约3小时后被下架。
结合360安全大脑数据,我们将axios入侵事件与我们跟踪的一起Lazarus组织活动关联起来,二者使用多处相同的命名及相似代码结构。同时,axios入侵事件使用的样本与早期被披露的RustBucket恶意组件存在关联。因此我们认为此次axios入侵事件归属到Lazarus组织。
Lazarus组织长期通过感染npm包的方式进行供应链攻击,依据以往攻击手法,攻击人员预先通过求职/招聘/面试等方式向开发人员投递钓鱼链接/被感染的工程项目,致使开发人员被攻击,随后攻击者再通过窃取开发人员账号发布被污染的工程项目,以实现供应链攻击。
二、归属研判
在我们持续监控Lazarus组织的活动中,该组织发起了一项攻击活动,在该活动中,受害者被从消息平台例如Telegram引诱到会议相关诱饵中,例如Zoom会议,随后下发及诱导执行PowerShell相关脚本从而可以多平台上执行实时命令和窃取凭据。Daylight也披露过同类活动,将其跟踪为GhostCall活动。
在之前攻击活动中,攻击者使用的样本(ea3192f64b9988889d5f8c61be637d2a)名为“c:\programdata\system.bat”,从恶意域名microsmeet[.]xyz和bluyy[.]com下发载荷。经过分析比对axios入侵事件们发现:
样本的命名与命令行基本一致;
建立的注册表项 Run 项均是MicrosoftUpdate;
与Daylight报告披露的Lazarus组织的基础设施一致。
图片
图1 089e2872016f75a5223b5e02c184dfec与ea3192f64b9988889d5f8c61be637d2a样本命令行一致
因此我们以强烈的信心将axios入侵事件与我们持续跟踪的Lazarus组织活动(也称为GhostCall活动)关联起来。
其次,在2023年4月21日的报告中,Jamf Threat Lab披露了名为“RustBucket”的 macOS 恶意软件变种。该报告披露第三阶段载荷(182760cbe11fa0316abfb8b7b00b63f83159f5aa)包含webT模块。
图片
图2 RustBucket样本模块信息
在分析axios入侵事件,我们提取了macOS平台样本的构建信息,可以看出项目名称为macWebT,与上文webT字符串同类。
/Users/mac/Desktop/Jain_DEV/client_mac/macWebT/macWebT/
/Users/mac/Library/Developer/Xcode/DerivedData/macWebT-hlbytmqtodqtmmfrlgcunsjzzmop/Build/Intermediates.noindex/macWebT.build/Release/macWebT.build/Objects-normal/arm64/main.o (raw binary string)
/Users/mac/Library/Developer/Xcode/DerivedData/macWebT-hlbytmqtodqtmmfrlgcunsjzzmop/Build/Intermediates.noindex/macWebT.build/Release/macWebT.build/Objects-normal/x86_64/main.o (raw binary string)
因此,我们认为此次axios入侵事件是Lazarus组织所为。
三、处置建议
参照此前报告:《Axios npm供应链攻击威胁分析报告》
附录 IOCs
kenaikoda[.]com
teams.onlivecall[.]com
23.254.204[.]101:80
3f47643c7a5cbf132f46b4cba75d1aa3
db07741e586bfae526730c592a2ffe6a
ea3192f64b9988889d5f8c61be637d2a
41372946fe231c73750428700f6015fb