Podejrzewa się, że północnokoreański ugrupowanie zagrażające przeprowadził poważny atak na łańcuch dostaw na bibliotekę JavaScript Axios. Axios, który jest pobierany ponad 100 milionów razy tygodniowo, miał zhakowane konto menedżera pakietów węzłów, co umożliwiło wprowadzenie złośliwej zależności o nazwie zwykły-crypto-js.
Zaatakowane wersje zależności zostały usunięte w ciągu kilku godzin. Jednak szerokie przyjęcie Axios budzi obawy, że wielu użytkowników mogło pobrać zatrutą wersję. Badacze z Google Threat Intelligence Group (GTIG) zidentyfikowali złośliwą zależność jako zaciemniony dropper instalujący backdoora o nazwie Waveshaper.v2 w środowiskach Windows, Linux i Mac.
GTIG przypisuje atak grupie znanej jako UNC1069, która działa co najmniej od 2018 roku. Waveshaper.v2 jest zgłaszany jako nowsza wersja backdoora powiązanego wcześniej z tą samą grupą. Ponadto Sophos powiązał ten atak z północnokoreańskim hakerem znanym jako Nickel Gladstone.
„Północnokoreańscy hakerzy mają głębokie doświadczenie w atakach na łańcuch dostaw, które w przeszłości wykorzystywali do kradzieży kryptowalut” – powiedział John Hultquist, główny analityk w GTIG. Podkreślił, że popularność skompromitowanego pakietu może mieć poważne konsekwencje.
Austin Larsen, główny analityk zagrożeń w GTIG, przestrzegł, że każdy, kto pobrał [email protected] lub [email protected], mógł niechcący uruchomić ładunek backdoora. To ostrzeżenie pojawiło się w poście na LinkedIn po wstępnym wykryciu incydentu.
Firma Step Security, która odkryła atak, określiła go jako planowany kompromis. Szkodliwa zależność została zainscenizowana 18 godzin przed jej wdrożeniem w poniedziałek, a obie gałęzie wydania Axios zostały zatrute w odstępie 39 minut.
Osoba atakująca początkowo włamała się na konto npm głównego opiekuna jasonsaaymana, zmieniając zarejestrowany adres e-mail na adres ProtonMail kontrolowany przez osobę atakującą. Firma Step Security ujawniła, że złośliwe artefakty uległy samozniszczeniu, co wzbudziło obawy co do stopnia zaawansowania incydentu.
Badacze scharakteryzowali ten atak jako jeden z „najbardziej wyrafinowanych operacyjnie ataków na łańcuch dostaw, jakie kiedykolwiek udokumentowano” na wiodący pakiet npm. John Hammond z Huntress wyraził zaniepokojenie potencjalnymi skutkami dla różnych organizacji korzystających z Axios.
„Pełne efekty są dynamiczne i wciąż nie są odkrywane, ponieważ każda organizacja korzystająca z oprogramowania Node.js lub JavaScript może polegać na zaatakowanym komponencie Axios” – stwierdził Hammond.
Ten incydent wpisuje się w niedawny trend ataków na łańcuch dostaw, którego innymi celami są Trivy, narzędzie typu open source firmy Aqua Security, które również zostało zhakowane przez innego ugrupowania zagrażającego o nazwie TeamPCB.
Charles Carmakal, dyrektor ds. technicznych w Mandiant Consulting, zauważył, że niedawne ataki na łańcuch dostaw doprowadziły do kradzieży tysięcy danych uwierzytelniających, ostrzegając przed zbliżającymi się zagrożeniami, takimi jak dalsze naruszenia SaaS, oprogramowanie ransomware i napady na kryptowaluty.
