Северокорейские хакеры взломали Axios в результате атаки на цепочку поставок, подготовка которой заняла недели
Широко используемый проект превратился в вектор кибератаки
Северокорейская кибероперация ненадолго взломала Axios, один из наиболее широко используемых в интернете проектов с открытым исходным кодом, в ходе атаки 31 марта, подготовка которой, по всей видимости, заняла недели. Компрометация подчеркивает, как поддерживаемые государством хакеры все чаще нацеливаются на доверенную программную инфраструктуру, где одно нарушение может распространиться на тысячи систем.
Axios — популярная библиотека JavaScript, используемая разработчиками для подключения приложений к интернету. Поскольку она входит в состав столь многих программных сборок, компрометация проекта может иметь последствия, выходящие далеко за его пределы. В данном случае вредоносные обновления были активны всего около трех часов, прежде чем были удалены, но этого окна могло быть достаточно для заражения тысяч систем.
Атака была задокументирована в посмертном анализе Джейсоном Саайманом, который поддерживает проект и изложил хронологию компрометации. По словам Сааймана, злоумышленники начали нацеливаться на него примерно за две недели до того, как получили контроль над его компьютером и использовали его для публикации вредоносного кода.
Долгая афера, построенная на доверии
Операция опиралась не столько на грубую силу, сколько на терпение. Саайман рассказал, что злоумышленники выдавали себя за реальную компанию, создали убедительное рабочее пространство Slack и заполнили его поддельными профилями сотрудников, чтобы обман выглядел законным. Затем они пригласили его на веб-встречу, которая предложила ему загрузить вредоносное ПО, замаскированное под обновление, необходимое для присоединения к звонку.
Саайман заявил, что приманка соответствовала технике, ранее связанной с северокорейскими хакерами и идентифицированной исследователями безопасности Google: подход социальной инженерии, который убеждает цели установить программное обеспечение, предоставляющее злоумышленникам удаленный доступ. В данном случае этот доступ, по-видимому, был ключом к распространению вредоносных выпусков Axios.
Инцидент иллюстрирует, почему сопровождающие проектов с открытым исходным кодом стали такими ценными целями. Популярные проекты часто поддерживаются небольшими командами или даже одним разработчиком, но при этом они могут быть встроены в бесчисленные приложения и сервисы. Это делает личные устройства сопровождающих привлекательной точкой входа для злоумышленников, стремящихся скомпрометировать программное обеспечение в больших масштабах.
Риск выходит далеко за рамки одного проекта
Защитите свою приватность с Doppler VPN
3 дня бесплатно. Без регистрации. Без логов.
Вредоносные пакеты Axios были быстро удалены, но не раньше, чем успели распространиться. Любая система, установившая одну из скомпрометированных версий в течение короткого окна воздействия, могла быть уязвима для кражи закрытых ключей, учетных данных и паролей, хранящихся на этой машине. Эти украденные секреты затем могут быть использованы для более глубокого проникновения в другие системы и сервисы, превращая инцидент в цепочке поставок программного обеспечения в более широкое нарушение.
Именно эта возможность делает такой вид атаки столь тревожным. Непосредственной жертвой может быть ноутбук разработчика или отдельный репозиторий пакетов, но конечная цель может быть гораздо более обширной: пользователи и организации, которые доверяют проекту как части своего собственного программного стека.
Инцидент с Axios также вписывается в более широкую картину. Северокорейские хакеры остаются одними из самых активных киберугроз в интернете, и они неоднократно связывались с операциями, которые сочетают социальную инженерию, кражу учетных данных и вредоносное ПО для удаленного доступа. Их кампании часто стирают грань между шпионажем и финансово мотивированными преступлениями, при этом кража криптовалюты часто является частью этого.
Знакомый сценарий, более серьезное предупреждение
Что отличает эту последнюю компрометацию, так это не только цель, но и методичность ее развития. Злоумышленники не просто использовали техническую уязвимость в коде проекта. Они вложили время в создание правдоподобной личности, завоевание доверия сопровождающего и, в конечном итоге, получение доступа к машине, используемой для публикации официальных обновлений.
Такой подход подчеркивает сложную реальность для экосистем с открытым исходным кодом: безопасность широко используемого программного обеспечения зависит не только от проверки кода и мониторинга пакетов, но и от личной защиты людей, которые поддерживают код. Поскольку спонсируемые государством хакеры и преступные группы продолжают нацеливаться на этих сопровождающих, сама цепочка поставок становится передовой линией в киберконфликте.
Саайман не сразу ответил на дополнительные вопросы об инциденте. Полный масштаб компрометации все еще оценивается, но урок уже ясен: когда доверенное программное обеспечение взламывается, радиус поражения может выходить далеко за пределы скомпрометированного проекта.
Источники: