Kuzey Koreli bilgisayar korsanları, haftalar süren bir tedarik zinciri saldırısıyla Axios'u ele geçirdi
Yaygın kullanılan bir proje siber saldırı vektörüne dönüştü
Kuzey Koreli bir siber operasyon, 31 Mart'ta haftalar süren bir hazırlığın ürünü olduğu anlaşılan bir saldırıda, web'in en yaygın kullanılan açık kaynak projelerinden biri olan Axios'u kısa süreliğine ele geçirdi. Bu ihlal, devlet destekli bilgisayar korsanlarının, tek bir ihlalin binlerce sisteme yayılabileceği güvenilir yazılım altyapılarını giderek daha fazla hedef aldığını gösteriyor.
Axios, geliştiriciler tarafından uygulamaları internete bağlamak için kullanılan popüler bir JavaScript kütüphanesidir. Birçok yazılım yapısının içinde yer aldığı için, projenin ele geçirilmesi projenin kendisinin çok ötesinde sonuçlar doğurabilir. Bu durumda, kötü amaçlı güncellemeler geri çekilmeden önce sadece yaklaşık üç saat yayında kaldı, ancak bu süre yine de binlerce sistemi enfekte etmek için yeterli olmuş olabilir.
Saldırı, projeyi sürdüren ve ihlalin zaman çizelgesini ortaya koyan Jason Saayman tarafından bir olay sonrası analizinde belgelendi. Saayman'a göre, saldırganlar bilgisayarının kontrolünü ele geçirmeden ve kötü amaçlı kod yayınlamak için kullanmadan yaklaşık iki hafta önce onu hedef almaya başladı.
Güven üzerine kurulu uzun bir dolandırıcılık
Operasyon, kaba kuvvete değil, sabra dayalıydı. Saayman, saldırganların gerçek bir şirket gibi davrandığını, ikna edici bir Slack çalışma alanı oluşturduğunu ve hileyi meşru göstermek için sahte çalışan profilleriyle doldurduğunu söyledi. Ardından onu, aramaya katılmak için gerekli bir güncelleme gibi gizlenmiş kötü amaçlı yazılımı indirmesini isteyen bir web toplantısına davet ettiler.
Saayman, yemin daha önce Kuzey Koreli bilgisayar korsanlarıyla ilişkilendirilen ve Google güvenlik araştırmacıları tarafından tanımlanan bir teknikle eşleştiğini söyledi: hedefleri, saldırganlara uzaktan erişim sağlayan yazılımı yüklemeye ikna eden bir sosyal mühendislik yaklaşımı. Bu durumda, bu erişim, kötü amaçlı Axios sürümlerini yayınlamanın anahtarı gibi görünüyor.
Bu olay, açık kaynak sürdürücülerinin neden bu kadar yüksek değerli hedefler haline geldiğini gösteriyor. Popüler projeler genellikle küçük ekipler veya hatta tek bir geliştirici tarafından sürdürülür, ancak sayısız uygulama ve hizmete gömülebilirler. Bu durum, sürdürücülerin kişisel cihazlarını, yazılımları büyük ölçekte ele geçirmek isteyen saldırganlar için çekici bir giriş noktası haline getirir.
Risk tek bir projenin çok ötesine uzanıyor
Doppler VPN ile gizliliğinizi koruyun
3 gün ücretsiz deneme. Kayıt yok. Günlük yok.
Kötü amaçlı Axios paketleri hızla kaldırıldı, ancak yayılma şansı bulamadan değil. Kısa maruz kalma süresi boyunca ele geçirilmiş sürümlerden birini yükleyen herhangi bir sistem, o makinede depolanan özel anahtarların, kimlik bilgilerinin ve parolaların çalınmasına karşı savunmasız kalmış olabilir. Çalınan bu sırlar daha sonra diğer sistemlere ve hizmetlere daha derinlemesine nüfuz etmek için kullanılabilir ve bir yazılım tedarik zinciri olayını daha geniş bir ihlale dönüştürebilir.
Bu olasılık, bu tür bir saldırıyı bu kadar endişe verici kılan şeydir. Doğrudan mağdur bir geliştiricinin dizüstü bilgisayarı veya tek bir paket deposu olabilir, ancak nihai hedef çok daha geniş olabilir: projeye kendi yazılım yığınlarının bir parçası olarak güvenen kullanıcılar ve kuruluşlar.
Axios olayı daha geniş bir kalıba da uyuyor. Kuzey Koreli bilgisayar korsanları internetteki en aktif siber tehditler arasında yer almaya devam ediyor ve defalarca sosyal mühendislik, kimlik bilgisi hırsızlığı ve uzaktan erişim kötü amaçlı yazılımlarını birleştiren operasyonlarla ilişkilendirildiler. Kampanyaları genellikle casusluk ile finansal motivasyonlu suç arasındaki çizgiyi bulanıklaştırır ve kripto para hırsızlığı sıklıkla bu karışımın bir parçasıdır.
Tanıdık bir oyun planı, daha büyük bir uyarı
Bu son ihlali öne çıkaran şey sadece hedef değil, aynı zamanda olayın metodik bir şekilde gelişmesidir. Saldırganlar sadece projenin kodundaki teknik bir hatayı istismar etmediler. İnandırıcı bir kimlik oluşturmaya, sürdürücünün güvenini kazanmaya ve sonunda resmi güncellemeleri yayınlamak için kullanılan makineye erişim sağlamaya zaman ayırdılar.
Bu yaklaşım, açık kaynak ekosistemleri için zorlu bir gerçeği vurgulamaktadır: yaygın olarak kullanılan yazılımların güvenliği sadece kod incelemesi ve paket izlemeye değil, aynı zamanda kodu sürdüren kişilerin kişisel savunmalarına da bağlıdır. Devlet destekli bilgisayar korsanları ve suç grupları bu sürdürücüleri hedef almaya devam ettikçe, tedarik zincirinin kendisi siber çatışmada bir cephe haline gelmektedir.
Saayman, olayla ilgili takip sorularına hemen yanıt vermedi. İhlalin tam kapsamı hala değerlendiriliyor, ancak ders zaten açık: güvenilir yazılım ele geçirildiğinde, etki alanı ihlal edilen projenin çok ötesine uzanabilir.
Kaynaklar: