Предполагается, что крупную атаку в цепочке поставок на библиотеку JavaScript Axios осуществил северокорейский злоумышленник. Учетная запись диспетчера пакетов узлов Axios, которую загружают более 100 миллионов раз в неделю, позволила внедрить вредоносную зависимость под названием Plain-crypto-js.
Скомпрометированные версии зависимости были удалены в течение нескольких часов. Однако широкое распространение Axios вызывает опасения, что многие пользователи могли загрузить зараженную версию. Исследователи из группы Google Threat Intelligence Group (GTIG) определили вредоносную зависимость как запутанный дроппер, который устанавливает бэкдор под названием Waveshaper.v2 в средах Windows, Linux и Mac.
GTIG связывает атаку с группой, известной как UNC1069, которая действует как минимум с 2018 года. Waveshaper.v2 считается новой версией бэкдора, ранее связанного с той же группой. Кроме того, Sophos связала эту атаку с северокорейским хакером, известным как Никель Гладстон.
«Северокорейские хакеры имеют большой опыт атак на цепочки поставок, который они исторически использовали для кражи криптовалюты», — сказал Джон Халтквист, главный аналитик GTIG. Он подчеркнул возможность серьезных последствий из-за популярности скомпрометированного пакета.
Остин Ларсен, главный аналитик угроз в GTIG, предупредил, что любой, кто загрузил [email protected] или [email protected], мог случайно выполнить полезную нагрузку бэкдора. Это предупреждение появилось в сообщении LinkedIn после первоначального обнаружения инцидента.
Компания Step Security, обнаружившая атаку, назвала ее запланированной компрометацией. Вредоносная зависимость была установлена за 18 часов до ее развертывания в понедельник, причем обе ветки выпуска Axios были отравлены с разницей в 39 минут.
Первоначально злоумышленник скомпрометировал учетную запись npm основного сопровождающего jasonsaayman, изменив зарегистрированный адрес электронной почты на адрес ProtonMail, контролируемый злоумышленником. Компания Step Security сообщила, что вредоносные артефакты были настроены на самоуничтожение, что вызывает обеспокоенность по поводу сложности инцидента.
Исследователи охарактеризовали эту атаку как одну из «самых сложных в оперативном отношении атак на цепочку поставок, когда-либо задокументированных» против ведущего пакета npm. Джон Хаммонд из Huntress выразил обеспокоенность по поводу возможных последствий для различных организаций, использующих Axios.
«Полные последствия являются динамичными и все еще не раскрыты, поскольку любая организация, использующая программное обеспечение Node.js или JavaScript, может полагаться на скомпрометированный компонент Axios», — заявил Хаммонд.
Этот инцидент является частью недавней тенденции атак на цепочку поставок, в число других целей которой входит Trivy, инструмент с открытым исходным кодом от Aqua Security, который также был скомпрометирован другим злоумышленником по имени TeamPCB.
Чарльз Кармакал, технический директор Mandiant Consulting, отметил, что недавние атаки на цепочки поставок привели к краже тысяч учетных данных, предупреждая о надвигающихся угрозах, таких как дальнейшие компрометации SaaS, программы-вымогатели и кражи криптовалют.
<час />
