Co się stało?

Właśnie odkryto kolejny poważny atak na łańcuch dostaw. Tym razem oberwała popularna biblioteka programistyczna axios powszechnie wykorzystywana do generowania żądań HTTP (pobierana ok. 100 milionów razy tygodniowo!). Tuż po północy atakujący przejęli kontrolę nad kontem npm twórcy biblioteki axios i opublikowali dwie złośliwe wersje, omijając pipeline CI/CD oparty o GitHub Actions i OIDC (Trusted Publisher). Skorzystali po prostu z ręcznej publikacji z pomocą wykradzionego developerowi długoterminowego tokenu dostępu (kto wie, może ów developer, czyli jasonsaayman jest ofiarą ostatniego ataku na LiteLLM?).

Oto zainfekowane paczki:
1.14.1 (31 marca o 00:21 UTC, tag latest)
0.30.4 (31 marca 01:00 UTCtag legacy)

Zachowanie wstrzykniętego złośliwego kodu różni się między systemami:

• Windows: Nadpisuje i chowa się pod fałszywym plikiem Windows Terminal (%PROGRAMDATA%\wt.exe), po czym odpala złośliwego PowerShella. (np. %TEMP%\6202033.ps1, %TEMP%\6202033.vbs)
• macOS: Udaje demona systemowego, zrzucając plik do rzadko sprawdzanego katalogu /Library/Caches/com.apple.act.mond (plus pliki pod $TMPDIR/6202033).
• Linux: Instaluje pythonowego backdoora w /tmp/ld.py.

Malware łączy się z C2 pod adresem sfrclak[.]com:8000 i wysyła dane o Twoim środowisku, nasłuchuje poleceń oraz zaciera za sobą ślady usuwając pliki instalacyjne. Daje też atakującemu możliwość zdalnego wykonania kodu (RCE).

IoC:
IP Serwerów C2: 142.11.206[.]73
Domena kampanii C2 i URL: http://sfrclak[.]com:8000/6202033 oraz sfrclak[.]com (do odrzucenia na poziomie /etc/hosts / iptables)
Złośliwe emaile: ifstap@proton.me oraz nrwise@proton.me
SHA-256 Sumy pakietów w przestrzeni npm:
złośliwy axios w. 1.14.1 – 2553649f232204966871cea80a5d0d6adc700ca
złośliwy axios w. 0.30.4 – d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71
złośliwy pakiet plain-crypto-js w. 4.2.1 – 07d889e2dadce6f3910dcbc253317d28ca61c766
Payload ld.py – fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf
pierwszy dropper setup.js – e10b1fa84f1d6481625f741b69892780140d4e0e7769e7491e5f4d894c2e0e09

Szczegóły techniczne ataku

Atak był dość dyskretny, nie zmodyfikowano ani jednej linii kodu źródłowego axiosa (co mocno utrudniało wykrycie problemu m.in. z pomocą bazujących na kodzie skanerów typu diff). Jedynymi modyfikacjami w pliku package.json było dodanie złośliwej zależności plain-crypto-js: “^4.2.1” oraz usunięcie natywnego skryptu “prepare”: “husky”.

Nowa zależność nigdy nie była importowana, jej celem było osadzenie instrukcji wywoływanej przy pobieraniu pakietu w tle: “postinstall”: “node setup.js”. Nieźle to zaplanowano, bo pakiet plain-crypto-js udostępnił na nowym koncie na platformie ProtonMail inny osobnik, podpisujący się jako nrwise (nrwise@proton.me). Pierwsza wersja z pełnym fałszywym i nieaktywnym kodem (4.2.0) została umieszczona w serwisie 30 marca o 05:57 UTC, a zainfekowana (4.2.1) o 23:59 UTC, czyli tuż przed wstrzyknięciem jej do złośliwego axiosa. Aby uśpić czujność ewentualnych badaczy, plain-crypto-js podszywał się pod inną, bezpieczną bibliotekę crypto-js poprzez linkowanie opisu, aż po kopiowanie dziesiątek z oryginalnych plików (m.in. aes.js o rozmiarze 8649 bajtów, blowfish.js, md5.js, sha256.js, itp.).

Jedyne obce i groźne pliki we wstrzykniętym archiwum to zaledwie jedno-linijkowy setup.js (wielkości 4209 bajtów) oraz czysty szablon konfiguracji package.md o rozmiarze 725 bajtów. Tutaj pełna analiza wstrzykniętego trojana.

Mam Axiosa — co robić, jak żyć?

Jeśli zainstalowałeś wersję 1.14.1 lub 0.30.4, musisz założyć najgorsze. Atakujący mogli mieć całkowity dostęp do Twojego systemu. Dlatego natychmiast:

• Sprawdź czy masz zainfekowane paczki. Stepsecurity sugeruje wykonanie tych poleceń:

  npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4"
grep -A1 '"axios"' package-lock.json | grep -E "1\.14\.1|0\.30\.4"
ls node_modules/plain-crypto-js 2>/dev/null && echo "POTENTIALLY AFFECTED"
# macOS
ls -la /Library/Caches/com.apple.act.mond 2>/dev/null && echo "COMPROMISED"
# Linux
ls -la /tmp/ld.py 2>/dev/null && echo "COMPROMISED"
# Windows (cmd.exe)
dir "%PROGRAMDATA%\wt.exe" 2>nul && echo COMPROMISED

• Odłącz maszynę od internetu, zbierz ślady pod forensic, a jeśli nie zamierzasz lub nie potrafisz go przeprowadzać, to odtwórz maszynę z czystego backupu lub przeinstaluj.
• Zrotuj klucze SSH, klucze API, tokeny NPM i inne sekrety. Nie zapomnij o plikach .env. Zmień hasła.

Na przyszłość: Jeśli nie musisz, nie pozwalaj paczkom na samowolkę podczas instalacji. Używaj flagi npm ci –ignore-scripts. Warto też zauważyć, że oba wydania pozbawione były commitów (brak pola gitHead), oficjalnych tagów w repozytorium GitHub (wywołanie GitHub API o tag v1.14.1 zwracało błąd 404) oraz SLSA provenance attestations, które w wersji poprzedniej (1.14.0 i 0.30.3) były obecne. Warto się zastanowić, czy nie wykrywać tego typu anomalii przy zaciąganiu nowych wersji paczek. Albo czy nie opóźniać instalacji nowych paczek o kilka dni — jak widać po ostatnich atakach, community dość szybko wykrywa ataki, więc zamrożenie wersji zależności może być dobrym ogranicznikiem ryzyka.

~/.config/uv/uv.toml
exclude-newer = "7 days"
~/.npmrc
min-release-age=7 # days
ignore-scripts=true
~/Library/Preferences/pnpm/rc
minimum-release-age=10080 # minutes
~/.bunfig.toml
[install]
minimumReleaseAge = 604800 # seconds

Jeśli potrzebujecie zadbać o bezpieczeństwo swoich projektów programistycznych od A do Z, to zapraszamy na nasze turbo-praktyczne szkolenie “Bezpieczeństwo Webaplikacji“, w ramach którego podczas praktycznych 2-dniowych warsztatów pokazujemy jakich błędów przy tworzeniu oprogramowania uniknąć i jak im zapobiegać. Średnia ocen tego szkolenia to 9,45/10. Oto najbliższe terminy tego szkolenia:

Podzielcie się tym info z kolegami i koleżankami z zespołów. Kto pierwszy w biurze wpisał w nocy lub nad ranem npm update, ten potrzebuje pomocy. Sprawdźcie też czy jakieś automatyzacje nie budowały/aktualizowały Wam przez noc softu/środowiska w oparciu o axiosa. Wygląda na to, że nocne kodowanie to jednak nie taki zen…

Skopiuj, wklej, atakuj

DarkSword to zestaw exploitów na iOS, który jest dość prosty w użyciu (opublikowane pliki to w zasadzie tylko HTML i JavaScript). Oznacza to, że prawie każdy może je skopiować, wrzucić na swój serwer i w kilka minut rozpocząć ataki na użytkowników iPhonów i iPadów. Nie jest tu wymagana żadna zaawansowana wiedza o strukturze systemu iOS.

Rosyjskie służby i ukraińskie serwery

DarkSword to nie jest amatorka. Według analityków Google oraz Lookout, narzędzie to było wcześniej wykorzystywane przez rosyjskich hakerów rządowych (UNC6353) do inwigilowania celów w Ukrainie. Co ciekawe, w kodzie źródłowym, który trafił do sieci, są fragmenty odpowiedzialne za przesyłanie skradzionych danych do popularnego ukraińskiego sklepu odzieżowego. Najprawdopodobniej atakujący przejęli wcześniej tę stronę, aby używać jej jako tzw. serwera C2 (Command and Control).

Warto dodać, że to już kolejny taki incydent w tym miesiącu. Niedawno głośno było o exploitpacku Coruna, stworzonym przez firmę L3Harris dla amerykańskiego rządu.

Co groźnego potrafi DarkSword?

DarkSword po udanym ataku po cichu wykrada z urządzenia:

kontakty,
wiadomości,
historię połączeń
zawartość systemowego pęku kluczy (iOS Keychain), w którym przechowywane są m.in. hasła do Wi-Fi i innych usług.

To nie jest narzędzie działające jak Pegasus (długotrwała inwigilacja). Raczej toolkit do szybkiego wejścia, kradzieży i wyjścia. Co ciekawe ma też funkcje kradzieży kryptowalut.

Kogo dotyczą te ataki?

DarkSword atakuje systemy iOS w wersji 18 bez włączonego mechanizmu Lockdown. Według danych Apple, około 25% użytkowników wciąż korzysta z iOS 18 lub starszych wersji systemu. Oznacza to setki milionów urządzeń, które są “na tacy” dla każdego, kto pobierze kod z GitHuba.

Na szczęście, ataki DarkSword nie powiodą się, jeśli urzędzenie jest zaktualizowane do najnowszego, dostępnego od października 2025 systemu iOS 26. Na marginesie: Apple nie wydało wersji iOS 19 ponieważ zmieniło numerację tak aby odpowiadała ona bieżącej dacie. Dla naprawdę starych urządzeń, które nie są wspierane przez iOS 26, Apple wydało ratunkową łatkę bezpieczeństwa 11 marca.

Mam iPhone’a — co robić, jak żyć?

Aby nie paść ofiarą DarkSword, zastosuj się do poniższych rad:

• Zaktualizuj system do najnowszej wersji iOS 26. Jeśli Twoje urządzenie nie wspiera iOS 26, zainstaluj łatkę bezpieczeństwa dla starszego systemu, która została wydane 11 marca lub włącz tryb Lockdown.
• Włącz Tryb Blokady (Lockdown Mode). To specjalna funkcja w urządzeniach Apple, która drastycznie ogranicza wektory ataków, blokując m.in. podejrzane skrypty na stronach www i w komunikatorach.

Jeśli chcesz wiedzieć więcej o tym, jak zabezpieczyć swojego smartfona (nie tylko iPhona) przed atakami, które mogą zagrażać Twoim pieniądzom, danym lub prywatności, to wpadnij na nasz wykład pt. “Jak nie dać się zhackować?”, z którym w najbliższych tygodniach odwiedzimy te miasta:

• Krakowie, 9 kwietnia — zapisz się tutaj!
• Warszawie, 16 kwietnia — zapisz się tutaj!
• Wrocławiu, 11 czerwca — zapisz się tutaj!

Ten wykład, to wszystko co dziś każdy powinien wiedzieć na temat cyberbezpieczeństwa. Kropka. Całość wiedzy podajemy w przystępny i zrozumiały dla każdego sposób, więc zapraszamy wszystkich, także osoby całkowicie nietechniczne. Można z rodzicami, można z dziadkami, można z dziećmi (rekomendujemy 15+). Będą widowiskowe pokazy ataków na żywo. Będzie dużo praktycznych, ale prostych i darmowych do wdrożenia rad. Gwarantujemy, że z wykładu wyjdziesz bezpieczniejszy. Ten wykład dopieszczaliśmy przez 6 lat i widziało go już ponad 100 tys. osób (średnia ocena to 9,48/10). Kliknij tutaj aby zobaczyć pełen opis i film z poprzedniej edycji oraz żeby zarezerwować miejsce dla siebie.

To nie był ćpun

Powyższa historia dotknęła Douga, 37-letniego pracownika branży tech w San Francisco. Napastnik atakujący jego taksówkę nie był pod wpływem środków odurzających, był po prostu wściekły na “roboty odbierające pracę” i pasażerów, którzy je finansują. Walił więc w szybę przez kilka minut i groził śmiercią. Sytuacja była poważna, ale problem polegał na tym, że systemy bezpieczeństwa autonomicznych pojazdów zostały zaprojektowane tak, aby za wszelką cenę unikać potrącenia pieszego. I tu pojawia się “błąd logiczny” algorytmu — no bo co, jeśli pieszy jest atakującym?

No dobra, to może:

• wskoczyć za kółko, przejąć stery i odjechać? Otóż nie. To niemożliwe. Pasażer nie może przesiąść się na fotel kierowcy i odjechać. Software na to nie pozwala.
• zadzwonić na support, jakkolwiek komicznie by to nie zabrzmiało? Też niczego nie da. Doug się co prawda dodzwonił, ale Waymo odmówiło zdalnego sterowania autem, dopóki ktoś stał w pobliżu. Rozumiecie, bezpieczeństwo pieszego.

Pomocni okazali się przechodnie, którzy choć paradoksalnie mieli dopingować napastnika, to na tyle go rozproszyli, że ten odsunął się wystarczająco daleko od maski taksówki, aby ta mogła ruszyć.

To nie pierwszy taki przypadek

To nie jest odosobniony incydent. Jakiś czas temu w Los Angeles grupa rowerzystów otoczyła pojazd, zmuszając go do zatrzymania. W innym przypadku wandalowie bezkarnie pomalowali auto sprayem, wiedząc, że maszyna nie zareaguje agresywnie ani nie spróbuje uciec, ryzykując potrącenie “artysty”.

Problem leży w sztywnych regułach decyzyjnych. Dla algorytmu nie ma różnicy między dzieckiem, które wbiegło na pasy, a terrorystą celującym ze strzelby w pasażera. To klasyczny dylemat, który pokazuje, że automatyzacja bez kontekstu sytuacyjnego bywa groźna. Ktoś może zacząć to wykorzystywać. Już teraz niektórzy zastanawiają się, co by było, gdyby jakaś grupa ludzi celowo zatrzymała w ten sposób autonomiczną taksówkę na …przejeździe kolejowym.

Może pora na przycisk “mimo wszystko jedź, na moją odpowiedzialność”. Ale pewnie wielu prawników z Doliny Krzemowej się nami nie zgodzi…

Nie tylko taksówki mogą Ci zagrażać

Umówmy się. Na razie to nie autonomiczne taksówki są największym zagrożeniem, przynajmniej dla Polaków. Zdecydowanie więcej złego mogą nam wyrządzić (i wyrządzają każdego dnia) cyberprzestępcy. Dlatego warto poświęcić chwilę i uporządkować wreszcie swoje cyfrowe życie — włączyć co trzeba na komputerze i skonfigurować co trzeba na smartfonie. Jak to zrobić? To pokazujemy na wykładzie “Jak nie dać się zhackować?” który już w kwietniu odbędzie się w Warszawie i Krakowie:

• Krakowie, 9 kwietnia — zapisz się tutaj!
• Warszawie, 16 kwietnia — zapisz się tutaj!
• Wrocławiu, 11 czerwca — zapisz się tutaj!

To jest wykład dla każdego — jest prowadzony przystępnym i zrozumiałym dla osób nietechnicznych językiem. Weźcie rodziców albo dziadków. W 3 godziny pokażemy wszystko, co dziś każdy musi wiedzieć, aby nie dać się zhackować i ochronić swoje dane, pieniądze oraz prywatność przed internetowymi zagrożeniami. Realizujemy go od ponad 5 lat, przeszkoliliśmy setki tysięcy Polaków a średnia ocena z ankiet to 9,48/10. Nie zwlekaj, wybierz pasujący Ci termin i zapisz się już teraz!

Przypomnijmy. W lutym pisaliśmy o tym, że niektórym osobom zdarza się dostać wezwanie za nieopłacony przejazd autostradą, mimo iż autostrady państwowe już dawno nie są płatne. Ewentualne wezwania dotyczą tego okresu, kiedy opłatę przejazd wnosiło się przez zakup biletu w aplikacji lub na stacji benzynowej. Opisywaliśmy przypadek Szymona, który porównał dane o przejeździe w systemie eToll z tymi, które miał w Google Maps. Okazało się, że system błędnie zarejestrował znaczniki czasowe przejazdu oraz – co najważniejsze – części przejzadu zaliczył do innego dnia co powodowało niesłuszne naliczenie opłaty.

Szymona napisał.

Sprawa w końcu ma swój (szczęśliwy) finał. Sprzeciw uwzględniony, pieniądze oddadzą w ciągu 30 dni. Ale ile czasu musiałem na to wszystko stracić… Ehhh, szkoda gadać. A w sumie nadal nie wiadomo ilu rzeczywiście jest pokrzywdzonych kierowców oraz jak często ten błąd występował. Bo w ich tłumaczenie, że to de facto wina mojego urządzenia, to nie wierzę. To u mnie w telefonie musiałaby się data nie zmienić i ich aplikacja odczytałaby z mojego smartfona błędną datę. Raczej nierealne, tym bardziej, że historia lokalizacji Google Maps nie miała żadnych błędów, a rejestrowała się dokładnie na tym samym urządzeniu. Błąd jest ewidentnie po ich stronie, ale nie wiem co trzeba by zrobić, żeby się przyznali.

Pismo od skarbówki wyglądało tak.

Już wcześniej w odpowiedzi na nasze pytania Ministerstwo Finansów przyznało, że takie sytuacje mogą się zdarzać.  Twierdzi jednocześnie, że problem nie jest powszechny i często wynika z błędów urządzeń użytkowników.

Szymon był uparty. Wiele innych osób może zapłacić “dla świętego spokoju”. Jeśli ktoś postanowi drążyć sprawę to niestety łatwo nie jest, o czym również pisał nam Szymon.

Większość osób ma zamknięte konto e-Toll, zrobili to rok temu, gdy e-Toll masowo wysyłał maile zachęcające do zamknięcia konta, żeby dostać zwrot środków z przedpłaty na koncie. Mając zamknięte konto nie da się sprawdzić historii przejazdów. Trzeba wysłać zgłoszenie, na które e-Toll ma czas na odpowiedź do 30 dni, a czas na wniesienie sprzeciwu to 14 dni. No ja akurat odpowiedź dostałem szybko, ale czy zawsze tak będzie? Warto byłoby to też poruszyć z MF/KAS. Odpowiedź dostajemy w pliku CSV.

Szczegóły w naszym artykule pt. Możesz dostać 500zł mandatu, bo system poboru opłat na A4 miał ciekawy błąd.

Tydzień temu pisaliśmy o ustawie o Krajowym Systemie Cyberbezpieczeństwa, która ma wdrażać w Polsce unijną dyrektywę NIS2. Wówczas ustawa wyszła z Senatu (bez poprawek) i czekała na podpis Prezydenta. Złożenie tego podpisu wielu osobom wydawało się formalnością (naprawdę tej ustawy podpisujemy), ale ten akt prawny miał swoich przeciwników. Protestowali przeciwko niemu niektórzy przedsiębiorcy, na których mają zostać nałożone nowe obowiązki (otwarcie przeciwko ustawie opowiedziała się Krajowa Izba Komunikacji Ethernetowej – KIKE). Byli też prawnicy z wątpliwościami. Prof. Ryszard Piotrkowski przekonywał, że bezpieczeństwo państwa nie uzasadnia tworzenia prawa, które trwale godziłoby we własność i swobodę działalności gospodarczej. W Sejmie odbyło się nawet zamknięte posiedzenie komisji cyfryzacji poświęcone lobbingowi wokół nowelizacji.

Wczoraj Prezydent ustawę podpisał, ale odesłał ją do Trybunału Konstytucyjnego w ramach kontroli następczej. Trybunał może uchylić część przepisów.

Z informacji wystosowanej przez Kancelarię Prezydenta wynika, że zastrzeżenia Prezydenta wobec ustawy są następujące:

1. Wątpliwości budzi objęcie ustawą 18 branż gospodarki pogrupowanych w podmioty kluczowe i ważne. Przy czym – zdaniem Prezydenta – rozszerzenie to nie wynika z przepisów europejskich, a jest samodzielną inicjatywą rządu.
2. Przepisy dotyczące uznawania firm za Dostawców Wysokiego Ryzyka (DWR) ingerują w samodzielność funkcjonowania przedsiębiorców poprzez nakładanie obowiązku wymiany sprzętu oraz
   oprogramowania bez odszkodowania i bez zabezpieczenia środków finansowych na ten cel.
3. Przewidziany ustawą system kar administracyjnych jest restrykcyjny, a wysokość możliwych do nałożenia kar ma charakter samodzielnych środków karnych.
4. System podejmowania decyzji przez organy ds. cyberbezpieczeństwa wobec podmiotów kluczowych i ważnych jest wadliwy m.in. pozbawiony odpowiedniej kontroli sądowej.

Warto w tym momencie przypomnieć, że w trakcie prac nad ustawą wprowadzono przepis, który pozwala nakładać kary za naruszenia dopiero po upływie 2 lat od dnia wejścia w życie ustawy (art. 35 nowelizacji). Sama ustawa wchodzi w życie po upływie miesiąca od ogłoszenia, ale podmioty, które z dniem wejścia w życie niniejszej ustawy spełniają przesłanki uznania ich za podmiot kluczowy albo za podmiot ważny, realizują obowiązki w brzmieniu nadanym ustawą w terminie 12 miesięcy od dnia wejścia w życie. Wdrażanie przepisów będzie tak czy owak nieco rozciągnięte w czasie np. minister ds. cyfryzacji będzie musiał przygotować harmonogram, według którego firmy będą zobowiazane składać wniosek o wpis do wykazu podmiotów kluczowych.

Niemniej ustawa już jest i trzeba zacząć ją wdrażać. Więcej o ustawie artykule pt. Najważniejsza dla cyberbezpieczeństwa ustawa wdrażająca NIS2 czeka na podpis Prezydenta