CRITICAL🇬🇧 English

CVE-2026-34841

Atak na łańcuch dostaw Bruno via skompromitowany pakiet axios – instalacja RAT

CVSS 9.8v3.1pub. 2026-04-06upd. 2026-04-22

Pakiet Bruno (open source IDE do testowania API) był podatny na atak na łańcuch dostaw polegający na wykorzystaniu skompromitowanego pakietu npm axios, który wprowadzał ukrytą zależność instalującą wieloplatformowego trojana zdalnego dostępu (RAT). Zagrożeni są użytkownicy @usebruno/cli, którzy wykonali npm install w wąskim oknie czasowym 31 marca 2026 roku.

Pokaż oryginał (EN)

Bruno is an open source IDE for exploring and testing APIs. Prior to 3.2.1, Bruno was affected by a supply chain attack involving compromised versions of the axios npm package, which introduced a hidden dependency deploying a cross-platform Remote Access Trojan (RAT). Users of @usebruno/cli who ran npm install between 00:21 UTC and ~03:30 UTC on March 31, 2026 may have been impacted. Upgrade to 3.2.1

🤖 Analiza AI
Jak działa

Atakujący przejęli kontrolę nad pakietem axios w rejestrze npm i opublikowali jego skompromitowaną wersję zawierającą ukrytą zależność (CWE-506: Embedded Malicious Code). Pakiet ten pobierał i instalował wieloplatformowego Remote Access Trojana (RAT) na systemie ofiary bez jej wiedzy (CWE-494: Download of Code Without Integrity Check). Użytkownicy, którzy zainstalowali @usebruno/cli między godziną 00:21 UTC a około 03:30 UTC w dniu 31 marca 2026 roku, mogli pobrać zainfekowaną wersję zależności.

Skutki

Atakujący mógł uzyskać pełny zdalny dostęp do systemu ofiary za pośrednictwem zainstalowanego RAT, co oznacza możliwość kradzieży danych, przejęcia kontroli nad maszyną, a także dalszego lateral movement w sieci organizacji.

Mitygacja

Należy niezwłocznie zaktualizować Bruno do wersji 3.2.1 lub nowszej. Jeśli instalacja pakietu miała miejsce w oknie 00:21–03:30 UTC dnia 31.03.2026, zaleca się uznanie systemu za potencjalnie skompromitowany: przeprowadzenie audytu aktywnych procesów i połączeń sieciowych, rotację przechowywanych poświadczeń oraz rozważenie reinstalacji systemu operacyjnego.

Kogo dotyczy

Pakiet @usebruno/cli w wersjach poprzedzających 3.2.1, zainstalowanych przy użyciu npm install w przedziale czasowym 00:21–03:30 UTC w dniu 31 marca 2026 roku

Uwagi

Zgodnie z opisem, atak dotyczył wyłącznie użytkowników wykonujących npm install w bardzo wąskim oknie czasowym (00:21–03:30 UTC, 31 marca 2026). Podatność wynikała z przejęcia konta maintainera pakietu axios w rejestrze npm. Szczegóły techniczne incydentu opisane są na blogu Aikido Security oraz w zgłoszeniu GitHub axios/axios#10604.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Usebruno Bruno

    APP
    Usebruno
    < 3.2.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-30210HIGH8.7ten sam produkt

Bruno is an open source IDE for exploring and testing APIs. Prior to 1.39.1, the custom tool-tip components wh...

CVE-2025-30354HIGH8.7ten sam produkt

Bruno is an open source IDE for exploring and testing APIs. A bug in the assertion runtime caused assert expre...

CVE-2024-48463MEDIUM6.5ten sam produkt

Bruno before 1.29.1 uses Electron shell.openExternal without validation (of http or https) for opening windows...