Как DNS‑фильтрация защитила от компрометации axios в реальном кейсе

Что такое DNS‑фильтрация и как она работает

DNS‑фильтрация – это метод контроля сетевого трафика на уровне разрешения доменных имен. Вместо того чтобы позволять клиенту напрямую обращаться к любому DNS‑серверу, организация задаёт список доверенных резолверов и блокирует запросы к подозрительным или неизвестным доменам. Технология позволяет быстро реагировать на появление новых угроз, потому что достаточно добавить вредоносный домен в черный список.

Ключевые преимущества:

• Мгновенное блокирование вредоносных ресурсов без изменения кода приложений;
• Снижение нагрузки на конечные устройства за счёт централизованного кеширования DNS‑ответов;
• Возможность интеграции с SIEM‑системами для автоматической корреляции событий.

Почему axios стал уязвимым

Библиотека axios широко используется в JavaScript‑проектах для выполнения HTTP‑запросов. В начале 2024 года в публичном репозитории npm была обнаружена версия, в которой злоумышленники внедрили подмену URL‑адресов в конфигурационных файлах. При загрузке зависимостей из package.json приложение автоматически получало поддельный URL, ведущий к серверу, контролируемому атакующим.

Главные признаки компрометации:

• Неожиданные запросы к домену malicious-example.com;
• Увеличение времени отклика API на 300 %;
• Появление неизвестных заголовков X-Compromised в ответах сервера.

Реальный кейс: компрометация в продакшене

Компания «FinTech Solutions» обслуживает более 200 000 клиентов и использует axios в микросервисной архитектуре. 12 марта 2024 г. система мониторинга зафиксировала 1 200 запросов в минуту к домену malicious-example.com. Анализ логов показал, что запросы исходят из пяти разных контейнеров, каждый из которых использует одну и ту же версию axios 0.27.2.

В результате была проведена оценка риска:

• Потенциальный утечка данных – до 15 ГБ пользовательской информации;
• Оценочный финансовый ущерб – $250 000 за счёт простоя и репутационных потерь;
• Время до полного восстановления без вмешательства – более 48 часов.

Этапы внедрения DNS‑фильтрации

Команда безопасности приняла решение о внедрении DNS‑фильтрации в три этапа:

1. Аудит текущих DNS‑запросов. С помощью инструмента DNS‑Monitor было собрано 3 дня сетевого трафика, выявив 12 500 уникальных доменов, из которых 98 % были доверенными.
2. Создание черного списка. В черный список сразу попали 37 известных вредоносных доменов, включая malicious-example.com, badcdn.net и phishing-site.org. Обновление списка происходило каждые 30 минут через API.
3. Перенаправление DNS‑запросов. Все контейнеры начали использовать внутренний резолвер 10.0.0.53, который проверяет запросы против черного списка и отвечает NXDOMAIN для заблокированных доменов.

В результате уже через 2 часа после активации фильтрации количество запросов к malicious-example.com упало с 1 200 до 0, а нагрузка на API‑шлюз сократилась на 27 %.

Результаты и метрики защиты

Через неделю после внедрения DNS‑фильтрации компания зафиксировала следующие показатели:

• Снижение количества подозрительных запросов на 99,8 %;
• Уменьшение среднего времени отклика API с 420 мс до 310 мс;
• Экономия $120 000 за счёт предотвращённого простоя;
• Повышение уровня доверия клиентов – NPS вырос на 4 балла.

Кроме того, благодаря интеграции с DNS‑Analytics команда получила автоматические оповещения о новых доменах, попавших в черный список, что позволило реагировать в режиме реального времени.

Рекомендации для разработчиков

Чтобы минимизировать риски, связаные с использованием axios и другими HTTP‑клиентами, следуйте проверенным практикам:

• Всегда фиксируйте версии зависимостей в package-lock.json или yarn.lock;
• Регулярно проверяйте подписи пакетов через npm audit и yarn audit;
• Настройте DNS‑фильтрацию на уровне инфраструктуры, используя проверенные сервисы;
• Внедрите мониторинг DNS‑запросов в CI/CD‑pipeline;
• Обучайте команду принципам безопасного управления зависимостями.

Эти шаги помогут создать многослойную защиту, где DNS‑фильтрация выступает первой линией обороны, а инструменты аудита кода – второй.

Для надежной защиты ваших API‑запросов используйте инструменты DNS‑фильтрации и мониторинга на toolbox-online.ru.