Haftasiga 100 milliondan ortiq yuklab olinadigan Axios kutubxonasida jiddiy zaiflik aniqlandi: davlat tashkilotlari, moliyaviy institutlar, sog‘liqni saqlash tizimlari, sanoat korxonalari va IT kompaniyalar ogoh bo‘ling!
Raqamli texnologiyalar hayotimizning ajralmas qismiga aylangan bugungi kunda dasturiy ta’minot ishlab chiqish jarayonida uchinchi tomon kutubxonalaridan foydalanish odatiy holga aylangan. Biroq aynan shu qulaylik ayrim hollarda jiddiy xavfsizlik muammolariga sabab bo‘lishi mumkin. 2026-yil 30-mart kuni sodir bo‘lgan voqea — mashhur Axios kutubxonasi bilan bog‘liq supply chain hujumi — buning yorqin misolidir.
Hujumning boshlanishi: ishonchdan foydalanilgan zaiflik
Mazkur hodisa oddiy texnik xatolik emas, balki puxta rejalashtirilgan kiberoperatsiya edi. Hujumchi dastlab Axios loyihasining yetakchi maintaineri akkauntini qo‘lga kiritadi. Bu orqali:
- akkaunt email manzili hujumchi nazoratiga o‘tkaziladi
- tizimda administrator darajasidagi huquqlar olinadi
- npm platformasiga to‘liq kirish imkoniyati qo‘lga kiritiladi
Natijada hujumchi qisqa vaqt ichida zararli kodni o‘z ichiga olgan ikkita versiyani tarqatadi:
- axios@1.14.1
- axios@0.30.4
E’tiborga molik jihati shundaki, ushbu versiyalar rasmiy GitHub sahifasida mavjud emas edi. Bu esa hujumning yashirin tarzda, tekshiruv mexanizmlarini chetlab o‘tgan holda amalga oshirilganini ko‘rsatadi.
Phantom dependency: ko‘rinmas, ammo xavfli mexanizm
Hujumning eng muhim texnik jihati — “phantom dependency” (soxta yoki yashirin bog‘liqlik) usulidan foydalanilganidir.
Zararli versiyaga quyidagi paket qo‘shilgan:
- plain-crypto-js@4.2.1
Mazkur paket:
- asosiy dastur kodida ishlatilmagan
- hech qanday funksional vazifani bajarmagan
- faqat
postinstallskriptini ishga tushirish uchun xizmat qilgan
Natijada foydalanuvchi paketni o‘rnatgan zahoti zararli kod avtomatik tarzda ishga tushgan.
Infeksiya mexanizmi: bosqichma-bosqich tahlil
Trend Micro mutaxassislari tomonidan o‘tkazilgan tahlillar hujum quyidagi bosqichlarda amalga oshirilganini ko‘rsatadi:
- Dastlab zararsiz ko‘rinadigan paket joylashtiriladi
- Keyinchalik boshqaruv serveri (C&C) tayyorlanadi
- Zararli kod paketga joylanadi
postinstallorqali avtomatik ishga tushiriladi- Qurilmaga RAT (Remote Access Trojan) o‘rnatiladi
Eng xavflisi — zararli dastur o‘z izlarini yashirish uchun o‘zini o‘chiradi va o‘rniga “toza” fayl joylashtiradi. Natijada foydalanuvchi tizimida hech qanday shubhali belgilar ko‘rinmaydi.
Kross-platforma tahdid: barcha tizimlar xavf ostida
Mazkur hujum bir vaqtning o‘zida bir nechta operatsion tizimlarni nishonga olgani bilan alohida xavfli hisoblanadi:
macOS tizimida:
- AppleScript orqali zararli fayl yuklanadi
- tizim fayliga o‘xshash joyga yashiriladi
Windows tizimida:
- VBScript yordamida PowerShell RAT ishga tushiriladi
- zararli kod diskka yozilmaydi (fileless attack)
Linux tizimida:
- Python asosidagi zararli dastur yuklanadi
- fon jarayon sifatida yashirin ishlaydi
Bu yondashuv hujumni aniqlash va bartaraf etishni yanada murakkablashtiradi.
Murakkab yashirish usullari
Zararli dastur aniqlanishdan qochish uchun bir nechta ilg‘or texnikalardan foydalangan:
- ikki bosqichli obfuskatsiya (XOR shifrlash + Base64 kodlash)
- dinamik
require()orqali modul yuklash - statik analiz vositalarini chalg‘itish
Bunday yondashuvlar an’anaviy antivirus va xavfsizlik vositalarining samaradorligini pasaytiradi.
Hujum ko‘lami va ta’siri
Axios kutubxonasi haftasiga 100 milliondan ortiq yuklab olinadi. Shu sababli hujum quyidagi sohalarga ta’sir ko‘rsatgan:
- davlat tashkilotlari
- moliyaviy institutlar
- sog‘liqni saqlash tizimlari
- sanoat va ishlab chiqarish korxonalari
- IT kompaniyalar
Bu esa supply chain hujumlarining naqadar keng ko‘lamli zarar yetkazishi mumkinligini ko‘rsatadi.
Himoyalanish va oldini olish choralar
Mazkur hodisadan keyin mutaxassislar quyidagi tavsiyalarni bermoqda:
Zudlik bilan bajarilishi kerak bo‘lgan choralar:
- xavfsiz versiyalarga o‘tish (axios@1.14.0 yoki 0.30.3)
- shubhali paketlarni tizimdan olib tashlash
- barcha maxfiy kalitlar va tokenlarni yangilash
Tizim darajasida:
- zararlangan tizimlarni qayta o‘rnatish
- CI/CD jarayonida
--ignore-scriptsparametridan foydalanish - tarmoq darajasida zararli domenlarni bloklash
Axios bilan bog‘liq ushbu hodisa zamonaviy kiberxavfsizlikda yangi tahdid — supply chain hujumlarining naqadar xavfli ekanini yana bir bor isbotladi.
Bu voqea bizga muhim saboq beradi:
Eng ishonchli deb hisoblangan vositalar ham zaif nuqtaga aylanishi mumkin.
Shu sababli kelajakda quyidagi yondashuvlar muhim ahamiyat kasb etadi:
- Zero Trust xavfsizlik modeli
- paket va bog‘liqliklarni qat’iy tekshirish
- avtomatlashtirilgan xavfsizlik monitoringi
Kiberxavfsizlik endilikda faqat alohida tizimni emas, balki butun ekotizimni himoya qilishni talab etadi.
