Google связал атаку на библиотеку axios с северокорейскими хакерами
В Google связали атаку на цепочку поставок JavaScript-библиотеки axios с северокорейской группой UNC1069. Хакеры взломали аккаунт разработчика и опубликовали в репозитории Node Package Manager две вредоносные версии, которые устанавливали троян удаленного доступа, а затем заменяли себя чистой версией библиотеки, подробнее — в материале SecPost.
В Google заявили, что популярная JavaScript-библиотека axios, которую используют для HTTP-запросов и загружают 100 млн раз в неделю, стала целью атаки на цепочку поставок, за которой стоят хакеры из Северной Кореи, сообщает издание The Record.
В понедельник вечером в репозитории Node Package Manager (npm — менеджер пакетов для языка JavaScript) появились две вредоносные версии axios. По данным компаний Socket и StepSecurity, хакеры получили доступ к аккаунту через одного из основных разработчиков, который имел право публиковать обновления библиотеки.
Вредоносный код устанавливал на системы жертв троян удаленного доступа. Как сообщается, он позволял выполнять произвольные команды, похищать системные данные и сохранять присутствие в зараженной системе. Вредоносное ПО работало на Windows, macOS и Linux. После выполнения оно удаляло себя и заменяло на чистую версию axios.
По словам исследователей, сам axios не был заражен — вредоносный код находился в другом месте. Сложность заключалась в том, что у хакера, взломавшего аккаунт администратора проекта, оказалось больше прав на управление проектом, чем у самого разработчика, и вернуть контроль удалось не сразу.
В Google Threat Intelligence Group (GTIG) атаку связали с северокорейской группой, которую они называют UNC1069. Как сообщили в компании, к такому же выводу пришли и другие исследователи. В SentinelOne обнаружили, что эта же группа использовала вредоносное ПО для macOS в атаках начиная с 2023 года.
В прошлом месяце эту же группу связывали с атакой на криптовалютную компанию — тогда хакеры использовали поддельную встречу в Zoom. Другие исследователи заметили, что примененные в атаке на axios вредоносные программы похожи на штамм WAVESHAPER, который использовался в предыдущей кампании с фальшивым Zoom.
Axios является одной из самых популярных клиентских библиотек JavaScript HTTP и используется разработчиками для подключения приложений к интернету. StepSecurity заявила, что это «одна из самых операционно сложных атак на цепочку поставок, когда-либо зарегистрированных против пакета из топ-10 npm».
Вредоносные версии находились в репозитории около трех часов до момента обнаружения. Как отмечается, из-за механизма самозамены файлов определить факт компрометации было затруднительно.
В Google добавили, что северокорейские хакеры ранее проводили атаки на цепочку поставок с целью кражи криптовалюты, в том числе в инциденте с компанией 3CX (прим ред.: занимается разработкой программного обеспечения и производством телефонной системы) в 2023 году. Полный масштаб последствий текущей атаки пока не установлен.
Ранее SecPost писал о том, что северокорейские хакеры распространяют вредоносное ПО через GitHub, маскируя его под тестовые задания для разработчиков. При открытии в VS Code вредоносный код внедряет бэкдор InvisibleFerret, который ворует криптокошельки, пароли и логирует нажатия клавиш.
Читайте также
