Hinijack ng mga hacker mula sa North Korea ang Axios sa isang supply chain attack na inabot ng ilang linggo para ihanda

Isang malawakang ginagamit na proyekto, naging biktima ng cyberattack

Panandaliang hinijack ng isang operasyon ng cyber mula sa North Korea ang Axios, isa sa pinakamalawakang ginagamit na open-source project sa web, sa isang pag-atake noong Marso 31 na tila inabot ng ilang linggo para ihanda. Binibigyang-diin ng kompromiso kung paano lalong tinatarget ng mga hacker na suportado ng estado ang pinagkakatiwalaang imprastraktura ng software, kung saan ang isang paglabag ay maaaring kumalat sa libu-libong sistema.

Ang Axios ay isang popular na JavaScript library na ginagamit ng mga developer upang ikonekta ang mga application sa internet. Dahil ito ay nasa loob ng napakaraming software builds, ang isang kompromiso ng proyekto ay maaaring magkaroon ng mga kahihinatnan na higit pa sa proyekto mismo. Sa kasong ito, ang mga malisyosong update ay aktibo lamang sa loob ng humigit-kumulang tatlong oras bago inalis, ngunit ang panahong iyon ay maaaring sapat pa rin upang mahawa ang libu-libong sistema.

Ang pag-atake ay idinokumento sa isang post-mortem ni Jason Saayman, na nagpapanatili ng proyekto at naglatag ng timeline ng kompromiso. Ayon kay Saayman, sinimulan ng mga umaatake ang pag-target sa kanya humigit-kumulang dalawang linggo bago nila nakuha ang kontrol ng kanyang computer at ginamit ito upang mag-publish ng malisyosong code.

Isang mahabang panloloko na binuo sa tiwala

Ang operasyon ay hindi gaanong umasa sa brute force kundi sa pasensya. Sinabi ni Saayman na nagpanggap ang mga umaatake bilang isang tunay na kumpanya, gumawa ng nakakumbinsing Slack workspace, at pinuno ito ng mga pekeng profile ng empleyado upang gawing lehitimo ang panloloko. Pagkatapos ay inanyayahan nila siya sa isang web meeting na nag-udyok sa kanya na mag-download ng malware na nagkukubli bilang isang update na kinakailangan upang sumali sa tawag.

Sinabi ni Saayman na ang pain ay tumugma sa isang teknik na dati nang nauugnay sa mga hacker mula sa North Korea at natukoy ng mga security researcher ng Google: isang social-engineering na pamamaraan na kumukumbinsi sa mga target na mag-install ng software na nagbibigay sa mga umaatake ng remote access. Sa kasong ito, ang access na iyon ay tila ang susi sa pagtulak ng mga malisyosong Axios releases.

Inilalarawan ng insidente kung bakit naging napakataas ang halaga ng mga open-source maintainer bilang target. Ang mga popular na proyekto ay madalas na pinapanatili ng maliliit na team o kahit isang developer lamang, ngunit maaari silang maipasok sa hindi mabilang na mga application at serbisyo. Ginagawa nitong kaakit-akit na entry point ang mga personal na device ng mga maintainer para sa mga umaatake na naghahanap upang ikompromiso ang software at scale.

Ang panganib ay lumalampas sa isang proyekto

Mabilis na inalis ang mga malisyosong Axios packages, ngunit hindi bago sila nagkaroon ng pagkakataong kumalat. Anumang sistema na nag-install ng isa sa mga nakompromisong bersyon sa maikling panahon ng pagkakabunyag ay maaaring naging vulnerable sa pagnanakaw ng mga private keys, credentials, at passwords na nakaimbak sa makinang iyon. Ang mga ninakaw na sikreto ay maaaring gamitin upang mas malalim na makapasok sa ibang mga sistema at serbisyo, na ginagawang mas malawak na paglabag ang isang insidente ng software supply chain.

Ang posibilidad na iyon ang dahilan kung bakit nakababahala ang ganitong uri ng pag-atake. Ang agarang biktima ay maaaring laptop ng isang developer o isang solong package repository, ngunit ang huling target ay maaaring mas malawak: ang mga user at organisasyon na nagtitiwala sa proyekto bilang bahagi ng kanilang sariling software stack.

Ang insidente ng Axios ay umaayon din sa mas malawak na pattern. Ang mga hacker mula sa North Korea ay nananatiling kabilang sa mga pinakaaktibong banta sa cyber sa internet, at paulit-ulit silang naiugnay sa mga operasyon na pinagsasama ang social engineering, pagnanakaw ng credential, at remote-access malware. Ang kanilang mga kampanya ay madalas na nagpapalabo sa linya sa pagitan ng espiyonahe at krimen na may motibong pinansyal, kung saan ang pagnanakaw ng cryptocurrency ay madalas na bahagi ng halo.

Isang pamilyar na playbook, isang mas malaking babala

Ang nagpapatingkad sa pinakabagong kompromiso na ito ay hindi lamang ang target, kundi ang metodikal na paraan kung paano ito naganap. Hindi lamang pinagsamantalahan ng mga umaatake ang isang teknikal na depekto sa code ng proyekto. Naglaan sila ng oras sa pagbuo ng isang kapani-paniwalang pagkakakilanlan, pagkuha ng tiwala ng maintainer, at sa huli ay pagkuha ng access sa makinang ginamit upang mag-publish ng mga opisyal na update.

Binibigyang-diin ng pamamaraang iyon ang isang mahirap na realidad para sa mga open-source ecosystem: ang seguridad ng malawakang ginagamit na software ay hindi lamang nakasalalay sa code review at package monitoring, kundi pati na rin sa personal na depensa ng mga taong nagpapanatili ng code. Habang patuloy na tinatarget ng mga hacker na suportado ng estado at mga kriminal na grupo ang mga maintainer na iyon, ang supply chain mismo ay nagiging isang frontline sa cyber conflict.

Hindi agad tumugon si Saayman sa mga follow-up na tanong tungkol sa insidente. Ang buong saklaw ng kompromiso ay sinusuri pa rin, ngunit malinaw na ang aral: kapag hinijack ang pinagkakatiwalaang software, ang blast radius ay maaaring lumampas nang malayo sa proyektong nilabag.

Mga Pinagmulan:

• techcrunch.com

I-download ang Doppler VPN: iOS | Android