朝鲜黑客通过供应链攻击劫持了 Axios，该攻击耗时数周进行部署

一个广泛使用的项目变成了网络攻击载体

一场朝鲜网络行动在3月31日的攻击中短暂劫持了 Axios（网络上最广泛使用的开源项目之一），此次攻击似乎已酝酿数周。此次入侵凸显了国家支持的黑客如何日益将目标对准受信任的软件基础设施，其中一次漏洞可能波及数千个系统。

Axios 是一个流行的 JavaScript 库，开发者用它来连接应用程序到互联网。由于它存在于如此多的软件构建中，该项目一旦被入侵，其后果可能远远超出项目本身。在这种情况下，恶意更新仅上线了大约三个小时就被撤下，但这个时间窗口可能仍然足以感染数千个系统。

此次攻击由项目维护者 Jason Saayman 在一份事后分析报告中记录，他详细阐述了入侵的时间线。根据 Saayman 的说法，攻击者在他控制其计算机并用它发布恶意代码之前大约两周就开始针对他。

一场建立在信任基础上的长期骗局

这次行动与其说是依靠暴力，不如说是依靠耐心。Saayman 表示，攻击者冒充一家真实公司，创建了一个令人信服的 Slack 工作区，并用虚假的员工资料填充，使骗局看起来合法。然后，他们邀请他参加一个网络会议，并诱导他下载伪装成加入会议所需更新的恶意软件。

Saayman 表示，这种诱饵与此前与朝鲜黑客相关联并由 Google 安全研究人员识别的一种技术相符：一种社会工程学方法，说服目标安装能让攻击者获得远程访问权限的软件。在这种情况下，这种访问似乎是推送恶意 Axios 版本发布的关键。

此次事件说明了为什么开源维护者已成为如此高价值的目标。流行的项目通常由小型团队甚至单个开发者维护，但它们可以嵌入到无数的应用程序和服务中。这使得维护者的个人设备成为攻击者寻求大规模入侵软件的有吸引力的切入点。

风险远超一个项目

恶意 Axios 包被迅速移除，但在此之前它们已经有机会传播。在短暂的暴露窗口期间安装了其中一个受损版本的任何系统，都可能容易受到存储在该机器上的私钥、凭据和密码的窃取。这些被盗的秘密随后可用于深入其他系统和服务，将软件供应链事件转变为更广泛的漏洞。

这种可能性正是此类攻击如此令人担忧的原因。直接受害者可能是一名开发者的笔记本电脑或一个单独的软件包仓库，但最终目标可能更为广泛：那些信任该项目作为其自身软件堆栈一部分的用户和组织。

Axios 事件也符合一个更广泛的模式。朝鲜黑客仍然是互联网上最活跃的网络威胁之一，他们一再被与结合了社会工程学、凭据窃取和远程访问恶意软件的行动联系起来。他们的行动常常模糊了间谍活动和经济动机犯罪之间的界限，加密货币盗窃经常是其中的一部分。

熟悉的套路，更大的警示

此次最新入侵之所以引人注目，不仅在于目标，还在于其有条不紊的展开方式。攻击者并非简单地利用项目代码中的技术缺陷。他们投入时间建立可信身份，获取维护者的信任，并最终获得用于发布官方更新的机器的访问权限。

这种方法凸显了开源生态系统的一个严峻现实：广泛使用的软件的安全性不仅取决于代码审查和软件包监控，还取决于维护代码人员的个人防御。随着国家支持的黑客和犯罪集团继续针对这些维护者，供应链本身就成为了网络冲突的前线。

Saayman 没有立即回应有关此事件的后续问题。此次入侵的全面范围仍在评估中，但教训已经很清楚：当受信任的软件被劫持时，其影响范围可能远远超出被攻破的项目本身。

来源：

• techcrunch.com

下载 Doppler VPN：iOS | Android