Nordkoreanische Hacker kaperten Axios in einem Supply-Chain-Angriff, dessen Vorbereitung Wochen dauerte
Ein weit verbreitetes Projekt wurde zum Cyberangriffsvektor
Eine nordkoreanische Cyberoperation kaperte am 31. März kurzzeitig Axios, eines der meistgenutzten Open-Source-Projekte des Webs, in einem Angriff, dessen Vorbereitung Wochen gedauert zu haben scheint. Die Kompromittierung unterstreicht, wie staatlich unterstützte Hacker zunehmend vertrauenswürdige Software-Infrastrukturen ins Visier nehmen, wo ein einziger Verstoß Tausende von Systemen betreffen kann.
Axios ist eine beliebte JavaScript-Bibliothek, die von Entwicklern verwendet wird, um Anwendungen mit dem Internet zu verbinden. Da sie in so vielen Software-Builds enthalten ist, kann eine Kompromittierung des Projekts weitreichende Folgen über das Projekt selbst hinaus haben. In diesem Fall waren die bösartigen Updates nur etwa drei Stunden lang aktiv, bevor sie entfernt wurden, aber dieses Zeitfenster könnte immer noch ausgereicht haben, um Tausende von Systemen zu infizieren.
Der Angriff wurde in einer Post-Mortem-Analyse von Jason Saayman dokumentiert, der das Projekt pflegt und den Zeitplan der Kompromittierung darlegte. Laut Saayman begannen die Angreifer etwa zwei Wochen, bevor sie die Kontrolle über seinen Computer erlangten und ihn zur Veröffentlichung bösartigen Codes nutzten, ihn ins Visier zu nehmen.
Ein langer Betrug, der auf Vertrauen basierte
Die Operation setzte weniger auf Brute Force als auf Geduld. Saayman sagte, die Angreifer hätten sich als echtes Unternehmen ausgegeben, einen überzeugenden Slack-Workspace erstellt und ihn mit gefälschten Mitarbeiterprofilen gefüllt, um die Täuschung glaubwürdig erscheinen zu lassen. Anschließend luden sie ihn zu einem Web-Meeting ein, bei dem er aufgefordert wurde, Malware herunterzuladen, die als Update getarnt war, das für die Teilnahme am Anruf erforderlich war.
Saayman sagte, die Köder-Methode entsprach einer Technik, die zuvor mit nordkoreanischen Hackern in Verbindung gebracht und von Google-Sicherheitsforschern identifiziert wurde: ein Social-Engineering-Ansatz, der Ziele davon überzeugt, Software zu installieren, die Angreifern Fernzugriff ermöglicht. In diesem Fall scheint dieser Zugriff der Schlüssel zur Veröffentlichung der bösartigen Axios-Versionen gewesen zu sein.
Der Vorfall verdeutlicht, warum Open-Source-Maintainer zu so hochrangigen Zielen geworden sind. Beliebte Projekte werden oft von kleinen Teams oder sogar einem einzelnen Entwickler gepflegt, können aber in unzähligen Anwendungen und Diensten eingebettet sein. Das macht die persönlichen Geräte der Maintainer zu einem attraktiven Einstiegspunkt für Angreifer, die Software in großem Maßstab kompromittieren wollen.
Das Risiko reicht weit über ein Projekt hinaus
Schützen Sie Ihre Privatsphäre mit Doppler VPN
3 Tage kostenlos testen. Ohne Registrierung. Ohne Protokolle.
Die bösartigen Axios-Pakete wurden schnell entfernt, aber nicht bevor sie sich verbreiten konnten. Jedes System, das eine der kompromittierten Versionen während des kurzen Expositionsfensters installiert hat, könnte anfällig für den Diebstahl von privaten Schlüsseln, Anmeldeinformationen und Passwörtern gewesen sein, die auf dieser Maschine gespeichert waren. Diese gestohlenen Geheimnisse können dann verwendet werden, um tiefer in andere Systeme und Dienste einzudringen und einen Software-Supply-Chain-Vorfall in eine umfassendere Sicherheitsverletzung zu verwandeln.
Diese Möglichkeit macht diese Art von Angriff so besorgniserregend. Das unmittelbare Opfer mag der Laptop eines Entwicklers oder ein einzelnes Paket-Repository sein, aber das letztendliche Ziel kann weitaus umfassender sein: die Benutzer und Organisationen, die dem Projekt als Teil ihres eigenen Software-Stacks vertrauen.
Der Axios-Vorfall passt auch in ein breiteres Muster. Nordkoreanische Hacker gehören weiterhin zu den aktivsten Cyberbedrohungen im Internet, und sie wurden wiederholt mit Operationen in Verbindung gebracht, die Social Engineering, den Diebstahl von Anmeldeinformationen und Remote-Access-Malware kombinieren. Ihre Kampagnen verwischen oft die Grenze zwischen Spionage und finanziell motivierter Kriminalität, wobei Kryptowährungsdiebstahl häufig Teil der Mischung ist.
Ein bekanntes Vorgehen, eine größere Warnung
Was diese jüngste Kompromittierung auszeichnet, ist nicht nur das Ziel, sondern auch die methodische Art und Weise, wie sie sich entfaltete. Die Angreifer nutzten nicht einfach eine technische Schwachstelle im Code des Projekts aus. Sie investierten Zeit in den Aufbau einer glaubwürdigen Identität, gewannen das Vertrauen des Maintainers und erlangten schließlich Zugang zu der Maschine, die zur Veröffentlichung offizieller Updates verwendet wurde.
Dieser Ansatz verdeutlicht eine schwierige Realität für Open-Source-Ökosysteme: Die Sicherheit weit verbreiteter Software hängt nicht nur von Code-Reviews und Paketüberwachung ab, sondern auch von den persönlichen Abwehrmaßnahmen der Personen, die den Code pflegen. Da staatlich unterstützte Hacker und kriminelle Gruppen diese Maintainer weiterhin ins Visier nehmen, wird die Supply Chain selbst zu einer Frontlinie im Cyberkonflikt.
Saayman reagierte nicht sofort auf Nachfragen zu dem Vorfall. Das volle Ausmaß der Kompromittierung wird noch bewertet, aber die Lektion ist bereits klar: Wenn vertrauenswürdige Software gekapert wird, kann der Wirkungsbereich weit über das kompromittierte Projekt hinausgehen.
Quellen: