Penggodam Korea Utara merampas Axios dalam serangan rantaian bekalan yang mengambil masa berminggu-minggu untuk disediakan
Projek yang digunakan secara meluas bertukar menjadi vektor serangan siber
Operasi siber Korea Utara secara ringkas merampas Axios, salah satu projek sumber terbuka yang paling banyak digunakan di web, dalam serangan 31 Mac yang nampaknya telah dirancang berminggu-minggu. Kompromi ini menekankan bagaimana penggodam yang disokong negara semakin menyasarkan infrastruktur perisian yang dipercayai, di mana satu pelanggaran boleh merebak ke ribuan sistem.
Axios ialah perpustakaan JavaScript popular yang digunakan oleh pembangun untuk menyambungkan aplikasi ke internet. Oleh kerana ia terdapat dalam begitu banyak binaan perisian, kompromi projek boleh mempunyai kesan yang jauh melangkaui projek itu sendiri. Dalam kes ini, kemas kini berniat jahat hanya aktif selama kira-kira tiga jam sebelum ditarik balik, tetapi tempoh tersebut mungkin masih cukup untuk menjangkiti ribuan sistem.
Serangan itu didokumenkan dalam post-mortem oleh Jason Saayman, yang menyelenggara projek tersebut dan membentangkan garis masa kompromi. Menurut Saayman, penyerang mula menyasarkannya kira-kira dua minggu sebelum mereka menguasai komputernya dan menggunakannya untuk menerbitkan kod berniat jahat.
Penipuan jangka panjang yang dibina atas kepercayaan
Operasi itu kurang bergantung pada kekerasan berbanding kesabaran. Saayman berkata penyerang menyamar sebagai syarikat sebenar, mencipta ruang kerja Slack yang meyakinkan, dan mengisinya dengan profil pekerja palsu untuk menjadikan penipuan itu kelihatan sah. Mereka kemudian menjemputnya ke mesyuarat web yang mendorongnya untuk memuat turun malware yang menyamar sebagai kemas kini yang diperlukan untuk menyertai panggilan.
Saayman berkata umpan itu sepadan dengan teknik yang sebelum ini dikaitkan dengan penggodam Korea Utara dan dikenal pasti oleh penyelidik keselamatan Google: pendekatan kejuruteraan sosial yang meyakinkan sasaran untuk memasang perisian yang memberikan penyerang akses jauh. Dalam kes ini, akses tersebut nampaknya menjadi kunci untuk menolak keluaran Axios yang berniat jahat.
Insiden ini menggambarkan mengapa penyelenggara sumber terbuka telah menjadi sasaran bernilai tinggi. Projek popular sering diselenggara oleh pasukan kecil atau bahkan seorang pembangun, namun ia boleh dibenamkan dalam aplikasi dan perkhidmatan yang tidak terkira banyaknya. Itu menjadikan peranti peribadi penyelenggara sebagai titik masuk yang menarik bagi penyerang yang ingin mengkompromi perisian secara besar-besaran.
Risiko melangkaui satu projek
Lindungi privasi anda dengan Doppler VPN
Percubaan percuma 3 hari. Tanpa pendaftaran. Tanpa log.
Pakej Axios berniat jahat telah dialih keluar dengan cepat, tetapi tidak sebelum ia sempat tersebar. Mana-mana sistem yang memasang salah satu versi yang dikompromi semasa tempoh pendedahan singkat mungkin terdedah kepada kecurian kunci peribadi, kelayakan, dan kata laluan yang disimpan pada mesin itu. Rahsia yang dicuri itu kemudian boleh digunakan untuk bergerak lebih dalam ke sistem dan perkhidmatan lain, mengubah insiden rantaian bekalan perisian menjadi pelanggaran yang lebih luas.
Kemungkinan itulah yang menjadikan jenis serangan ini begitu membimbangkan. Mangsa serta-merta mungkin komputer riba pembangun atau repositori pakej tunggal, tetapi sasaran akhirnya boleh menjadi jauh lebih luas: pengguna dan organisasi yang mempercayai projek sebagai sebahagian daripada timbunan perisian mereka sendiri.
Insiden Axios juga sesuai dengan corak yang lebih luas. Penggodam Korea Utara kekal antara ancaman siber paling aktif di internet, dan mereka telah berulang kali dikaitkan dengan operasi yang menggabungkan kejuruteraan sosial, kecurian kelayakan, dan malware akses jauh. Kempen mereka sering mengaburkan garis antara pengintipan dan jenayah bermotifkan kewangan, dengan kecurian mata wang kripto sering menjadi sebahagian daripada campuran.
Buku panduan yang biasa, amaran yang lebih besar
Apa yang menjadikan kompromi terbaru ini menonjol bukan hanya sasarannya, tetapi cara ia berlaku secara metodikal. Penyerang tidak hanya mengeksploitasi kelemahan teknikal dalam kod projek. Mereka melabur masa dalam membina identiti yang boleh dipercayai, mendapatkan kepercayaan penyelenggara, dan akhirnya memperoleh akses kepada mesin yang digunakan untuk menerbitkan kemas kini rasmi.
Pendekatan itu menyerlahkan realiti sukar bagi ekosistem sumber terbuka: keselamatan perisian yang digunakan secara meluas bergantung bukan sahaja pada semakan kod dan pemantauan pakej, tetapi juga pada pertahanan peribadi orang yang menyelenggara kod tersebut. Apabila penggodam yang ditaja negara dan kumpulan jenayah terus menyasarkan penyelenggara tersebut, rantaian bekalan itu sendiri menjadi barisan hadapan dalam konflik siber.
Saayman tidak segera membalas soalan susulan mengenai insiden itu. Skop penuh kompromi masih dinilai, tetapi pengajaran sudah jelas: apabila perisian yang dipercayai dirampas, jejari letupan boleh melangkaui projek yang diceroboh.
Sumber: