2026. 04. 01., 13:46

A ravasz trójai az egész internetet fenyegeti – te is érintett?

A ravasz trójai az egész internetet fenyegeti – te is érintett?
Felmerül a kérdés, hogy az internet egyik legalapvetőbb építőkockájában hogyan jelenhet meg egy komoly támadás, ráadásul úgy, hogy az érintett fejlesztők mindent a szabályok szerint csináltak. Egy hackercsoportnak mégis sikerült trójait csempészni az Axios, az egyik legismertebb JavaScript HTTP-kliens-könyvtár kódjába, amely gyakorlatilag minden modern felhőalapú vagy szerver nélküli környezetben jelen van: heti 100 millió letöltéssel a teljes Node.js-ökoszisztéma 80%-át érinti, a React front-endektől a CI/CD rendszerekig.

Villámgyors támadás, profin kivitelezve

A támadók egy hosszú élettartamú npm-hozzáférési tokent loptak el az Axios egyik vezető fejlesztőjétől. Ez elég volt ahhoz, hogy publikáljanak két fertőzött verziót, amelyek a fejlesztői gépekre egy platformfüggetlen, távoli elérésű trójait (RAT-et) telepítettek Windows, macOS és Linux alatt is. A rosszindulatú csomagok három órán keresztül voltak elérhetők az npm-en, de már 89 másodperccel az első feltöltés után megkezdődtek a fertőzések, és a támadók legalább 135 rendszert kompromittáltak.

Egészen precízen és rejtetten jártak el: az Axios kódjába nem nyúltak bele; helyette mindkét fő kiadási ágban hozzáadtak egy új függőséget, a plain-crypto-js@4.2.1-et, amely önállóan semmit sem importál, csak azért létezik, hogy egy telepítés utáni szkriptet futtasson és telepítse a trójait. Tizennyolc órával a támadás előtt még egy „tiszta”, megtévesztő verziót is publikáltak ugyanezen a néven, hogy elkerüljék a csomagszkennerek figyelmét. Ezután következett a tényleges, támadó verzió két ágon, mindössze 39 percen belül.

Korszerű védekezés, de hiába

Az Axios fejlesztőcsapata minden egyes ajánlott biztonsági protokollt bevezetett: a kiadások GitHub Actionsből indultak, OIDC Trusted Publisher mechanizmussal, ami minden publikálást egy ellenőrzött CI/CD folyamathoz kötött. SLSA származást igazoló nyilatkozatokat is mellékeltek, így papíron a biztonság maximálisnak tűnt.

Ennek ellenére elég volt egyetlen megmaradt, régi típusú npm-token, amely még a modern OIDC-beállítások mellett is elsőbbséget élvezett. A támadó nem bontotta meg a biztonsági láncot, egyszerűen kikerülte azt: az npm parancssori eszköz csupán a legacy token meglétét figyelte, az új OIDC-t figyelmen kívül hagyta. Így minden modern védelmi intézkedés értelmét vesztette. Ilyen örökölt hitelesítési mechanizmusok nagyvállalati rendszerekben sem ritkák, és a történet erősen emlékeztet a SolarWinds-botrányra is.

Miért nem derült ki azonnal?

A valódi, nem fertőzött verziókról minden modern védelmi információ rendelkezésre állt: OIDC-eredetjelölés, hiteles kiadói rekord, konkrét commit-azonosító. Az álcázott, rosszindulatú verziókban ezek hiányoztak – bármilyen eszköz, amely ellenőrzi a csomag származását, azonnal kiszúrta volna. Csakhogy ez a védelem nem kötelező, a registry nem blokkolja a hiányos nyomvonalú csomagokat.


Nem egyedi eset: az ok ugyanaz

Az utóbbi hét hónapban ez már a harmadik jelentős npm-ellátási lánc kompromittálása, mind ugyanazzal az alappal: ellopott fejlesztői hitelesítő adatokkal. 2025 szeptemberében a Shai-Hulud-támadás, 2026 januárjában a Koi Security hat „zero-day” sérülékenységet mutatott ki több package managernél. Persze az npm a zúduló támadások után valóban új védelmeket vezetett be: az új klasszikus tokenek létrehozását megszüntették, bevezették a FIDO 2FA-t és az időzített/granuláris hozzáférést, de az alapszabály nem változott: a fejlesztői fiókok maradtak a lánc leggyengébb pontjai. A támadások azokat célozzák.

Hiába minden rétegzett védelem, amíg a fő fejlesztői hozzáférések, a hitelesítési adatok, tokenek ott vannak: ezek maradnak a fő rizikófaktorok. Mindegy, hány szabály van, ha egy figyelmetlenség miatt egy örökölt token él, minden borulhat.

Mik voltak a vakfoltok?

Az npm igazán fontos biztonsági frissítéseket vezetett be, mégsem tudta megelőzni a támadást:

  • Az ellopott tokenek blokkolását kötelező FIDO 2FA-val és 7 napos érvényű tokenekkel próbálták elérni, de a rendszer automatikusan a régi tokeneket használta tovább.
  • A csomagok származásának ellenőrzése is csak ajánlott volt, a registry nem szűrte a bizonyíték nélküli kiadásokat.
  • A telepítés utáni szkriptek futtatása nagy malware-forrás, az npm továbbra sem blokkolja alapértelmezésben, szemben a pnpm-mel.
  • A lockfile-ra épülő függőségkezelés ténylegesen csak akkor véd, ha a kompromittált csomag megjelenése előtt commitolják.

Mi a teendő most?

A Node.js-t használó cégeknek ezt az incidenst érdemes aktív veszélyként kezelni, legalább addig, amíg minden rendszerüket nem ellenőrizték. Az érintett időszak különösen az ázsiai fejlesztői munkaidőkkel esett egybe, bármelyik CI/CD pipeline magától is letölthette az érintett csomagot.

Az első lépés: derítsd fel, melyik build és downstream-felhasználó használta a fertőzött verziókat: axios@1.14.1, axios@0.30.4, vagy plain-crypto-js. Állítsd vissza az axios-t 1.14.0-ra vagy 0.30.3-ra.
Ha kompromittált gépet találsz, azonnal építsd újra ismert jó állapotból. Cserélj minden elérhető hitelesítőt, npm-tokeneket, AWS-kulcsokat, SSH-kulcsokat, CI/CD titkosakat.
Tiltólistára kell tenni a támadók parancsközpontját (távoli elérési címet). Ellenőrizd a következő fájlokat és mappákat: macOS-en /Library/Caches/com.apple.act.mond, Windowson %PROGRAMDATA%wt.exe, Linuxon /tmp/ld.py. Ha ilyet találsz, teljes újratelepítés kell.
A jövőre nézve: csak –ignore-scripts kapcsolóval induljon az npm-telepítés CI/CD-ben, minden csomagnál kötelező legyen a származás igazolása, és nézd át, nincs-e régi token az OIDC mellett.

A hiányzó láncszem: a fejlesztői hitelesítők

A legérdekesebb rész még csak ezután jön: bárhány védelmi réteg kerül a rendszerbe, az npm ma is a karbantartók fiókjait kezeli bizalmi központként. Ezek pedig mindig is a támadók célpontjai lesznek, függetlenül a hozzáadott biztonsági megoldásoktól.

Az MI már képes felderíteni a problémás csomagokat, auditálni a régi jogosultságokat, de a fejlesztői jelszavak továbbra is emberek kezében maradnak. Itt maximum csökkenthető a kockázat, de teljesen nem szüntethető meg.

Az egyetlen, valóban működő megoldás az lenne, ha a CLI-s kiadást teljesen letiltanák azoknál a projekteknél, ahol van OIDC Trusted Publishing, vagy kötelezővé tennék a több aláíróval történő kiadást. Ez azonban még csak terv az npm-nél, addig minden OIDC-vel futó projekt ugyanazzal a vakfolttal küzd, mint most az Axios. Összefoglalva: egyetlen, rég elfeledett token miatt hiúsult meg az egész közösség eredménye.

2026, adminboss, venturebeat.com alapján

Legfrissebb posztok

MA 18:31

Az Ozempic és a Wegovy tényleg lassíthatják a biológiai öregedést?

Tipikus eset, amikor egy ismert gyógyszer egészen váratlan előnyöket kínál. A GLP-1 típusú szerek, mint az Ozempic, a Wegovy vagy a Rybelsus, eredetileg a fogyás, a jobb vércukorszint-szabályozás és a szívbetegségek kockázatának csökkentése miatt váltak népszerűvé...

MA 17:30

Az indiai tudósok megalkották az emberi agytörzs eddigi legrészletesebb 3D-atlaszát

Indiai kutatók a világ eddigi legrészletesebb, háromdimenziós agytörzs-atlaszát hozták létre, amelyben MRI-felvételeket több mint 500 mikroszkópos szövetrészlettel kapcsoltak össze...

MA 17:01

A Tejútrendszer mélyén cukrot találtak a kutatók

Többek között különleges eredményre jutottak a kutatók: a Tejútrendszer középpontjához közel egy óriási gázfelhőben felfedeztek egy ritka cukorfélét, az eritrózt, amely nemcsak málnában, hanem barnító krémekben is megtalálható...

MA 16:01

Az IBM 23%-ot zuhant a második negyedéves profitfigyelmeztetés után

Ami kezdetben ártalmatlannak tűnt, végül az IBM történetének egyik legsötétebb napjához vezetett a tőzsdén...

MA 15:01

A NASA Perseverance-je célba ért: megvan a marsi maraton

🚀 Történelmi teljesítmény született a Marson: a Perseverance marsjáró öt év és négy hónap után elérte a 42,195 kilométeres maratoni távot...

MA 12:01

A régi T‑Mobile-csomagoknak vége: kényszerváltás már ezen a héten

Ami kezdetben ártalmatlannak tűnt, most minden régi T-Mobile-előfizető számára valódi változás: a társaság e héttől kezdve automatikusan átsorolja a 10–15 éves tarifákat – például a Simple Choice, T-Mobile One, One Plus, a Magenta családhoz tartozó, valamint a Sprintből áthozott régi csomagokat – modernebb tarifákra...

MA 11:31

Az inflációs adat előtt megroggyan a Bitcoin

A legnagyobb kriptovaluták teljesítménye az elmúlt 24 órában jelentősen visszaesett, miután egyre többen valószínűsítik, hogy az amerikai jegybank akár már júliusban kamatemelés mellett dönt...

MA 11:02

Az analóg fotózás visszatér: a fiatalok újra tekercsre lőnek

Az elmúlt pár évben váratlan fordulat történt a fotózás világában: a fiatal generáció újra felfedezte a filmes fényképezőgépeket...

MA 10:49

A Turing-mítosz vége: lehet, hogy tévedett a mesterséges intelligenciáról?

🤔 A mesterséges intelligencia kutatása 75 éve követi Alan Turing útmutatását, aki két alapvető feltételezést tett: az intelligencia létrehozható szoftverből, függetlenül a testtől, és hogy egy gép intelligensnek számít, ha sikerrel utánozni tudja az embert, például egy beszélgetés során...

MA 10:37

Az MI átírja a marketinget: a régi szabályoknak befellegzett

💡 A Fortune 500 cégek vezető marketingesei kénytelenek szembenézni azzal a ténnyel, hogy a korábbi, jól bevált módszerek egyszerűen elavultak...

MA 10:25

A júliusi Google-frissítés felturbózza a Play Áruházat, Wear OS-t és a Térképet

🚀 A legújabb Google System-frissítés idén nyáron ismét ráncfelvarrást hoz az Android-felhasználóknak...

MA 10:01

Végre itt a hideg vízzel elkészíthető Cup Noodles!

🍹 Lényeges szempont, hogy az instant tészták villámgyors megoldást kínálnak, legyen szó egyetemista vacsoráról vagy gyors munkahelyi ebédről...

MA 09:48

A Pixel frissítése végre kézre álló csengőhang-, ébresztő- és értesítéskezelést ad

A Google a Pixel telefonokon jelentősen megkönnyíti a csengőhangok, az ébresztők és az értesítések hangerejének szabályozását...

MA 09:37

A legnagyobb japán taxitársaság leállította rendszereit kibertámadás után

Felmerül a kérdés, hogy mi történik egy nagyvállalattal, ha leáll a teljes informatikai rendszere?..

MA 09:13

A sötétség fenyeget: MI-adatközpontok és e-autók túlterhelik a hálózatot

Érdemes megérteni, hogy Európa és Észak-Amerika energiaellátása drámai kihívásokkal néz szembe...

APP
MA 09:11

APPok, Amik Ingyenesek MA, 7/14

Fizetős iOS appok és játékok, amik ingyenesek a mai napon.     Monthly Dystopia (iPhone/iPad)A Monthly Dystopia egy túlélő játék, amelyet George Orwell 1984 című műve inspirált...

MA 09:01

A maja matematikus neve végre kiderült

Különösen igaz ez akkor, ha a múlt titkai olyan felfedezésekhez vezetnek, amelyek egy több mint ezer évvel ezelőtt élt tudóshoz kötődnek...

MA 08:49

Az agy teljesen máshogy hoz döntéseket, mint gondoltuk

Felmerül a kérdés, hogy vajon valóban olyan egyszerűen működik-e az agyunk, ahogyan azt évtizedekig gondoltuk...

MA 08:36

A mesterséges intelligencia gazdasági hatása: most kell lépni, figyelmeztet 200 közgazdász

Jellemző példa erre, hogy több mint 200 közgazdász – köztük Nobel-díjasok, számítástechnikai szakértők és nagy techcégek (például a Google vagy az OpenAI) vezetői – nyílt levélben figyelmeztet: a jelenlegi intézmények nincsenek felkészülve a mesterséges intelligencia okozta gyors gazdasági átalakulás kezelésére...

MA 08:25

A napi 80 perc alváshiány is pluszkilókat hozhat

😴 Már napi 80 perc alváshiány is jelentős hatással lehet egészségünkre, amivel sokan talán nincsenek is tisztában...

MA 08:13

A CISA riaszt: aktívan támadják a Joomla-bővítmények RCE-hibáit

Az amerikai kiberbiztonsági hivatal riasztást adott ki, mert támadók kihasználják a népszerű Joomla rendszeren futó iCagenda és Balbooa Forms bővítményeinek sérülékenységeit...

MA 07:48

Az Android Auto okosabb médialejátszót hozhat a műszerfalra

🎧 Úgy tűnik, hogy az Android Auto hamarosan jelentősen átalakítja a műszerfalon megjelenő zenelejátszó kártyát...

MA 07:37

Az amerikai kormány figyelmeztet: orosz állami hekkerek az otthoni routereidre hajtanak

Többek között a routerek váltak a legújabb, sebezhető célponttá azok számára, akik a háttérből szeretnének támadni vagy adatokat gyűjteni...

MA 07:14

A turizmus ellopja Bali vizét: a sziget kiszárad

I Putu Partayasa térdre ereszkedik a rizsföld szélén, ujjai száraz földet emelnek...

MA 07:01

A James Webb feltárja a Centaurus A sosem látott sebeit

Érdemes megérteni, hogy a James Webb űrteleszkóp legújabb felvétele átírja azt, ahogyan a közeli Centaurus A galaxist látjuk...

MA 06:48

A tagállamok perrel állítanák meg a Paramount–Warner óriásfúziót

Tizenkét állam – Kalifornia vezetésével – bírósági úton próbálja megakadályozni a Paramount és a Warner Bros...

MA 06:37

Az új villanyautó‑vásárlóknak 1,3 milliós visszatérítés Kaliforniában

🚗 Különösen igaz ez akkor, ha valaki Kaliforniában vásárolna elektromos autót. Miközben az USA legtöbb államában jelentősen visszaestek az elektromos járművek eladásai, Kalifornia újabb lendületet ad a tiszta közlekedésnek: minden új elektromos autó vásárlója mostantól akár 1,3 millió forintos (3 500 USD) támogatást kap...

MA 06:05

Történelmi események a mai napon (Július 14.)

Mai időutazásunk a Tang-dinasztia megrendülésétől a kanadai halálbüntetés eltörléséig vezet: lázadások, csaták és áttörések formálták a világot...

hétfő 18:31

Az élet receptje: málnacukor a Tejútrendszer szívében

A csillagászok váratlan felfedezést tettek: a málnában is megtalálható eritrióz cukrot kimutatták a Tejútrendszer középpontja közelében lévő gázfelhőben...