Предполагаемый северокорейский хакер захватил и модифицировал популярный инструмент для разработки open source, чтобы доставить вредоносное ПО, которое может поставить под угрозу миллионы разработчиков.
В понедельник хакер выложил вредоносные версии широко используемой JavaScript-библиотеки Axios, которая нужна разработчикам для подключения их программного обеспечения к интернету. Пострадавшая библиотека размещалась на npm — репозитории, хранящем код для open source-проектов. Axios загружают десятки миллионов раз каждую неделю.
По данным компании StepSecurity, проанализировавшей атаку, взлом был обнаружен и остановлен примерно за три часа в ночь с понедельника на вторник.
Хакеры всё чаще нацелены на разработчиков популярных open source-проектов, чтобы массово взламывать всех, кто полагается на скомпрометированный код, что потенциально даёт злоумышленникам доступ к огромному числу затронутых устройств. Такие широкомасштабные взломы называются атаками на цепочку поставок, поскольку они нацелены на программное обеспечение, позволяющее хакерам затем взламывать тех, кто загрузил скомпрометированное ПО. В последние годы хакеры атаковали такие компании, как 3CX, Kaseya и SolarWinds, а также инструменты open source, включая Log4j и Polyfill.io, чтобы нацелиться на большое количество их пользователей.
На данный момент неясно, сколько людей загрузили вредоносную версию Axios за этот промежуток времени. Компания Aikido, также расследовавшая инцидент, заявила, что любой, кто загрузил этот код, «должен считать свою систему скомпрометированной».
Google сообщил TechCrunch, что его исследователи связывают взлом Axios с северокорейскими хакерами.
«Мы связываем атаку с предположительно северокорейской угрозой, которую отслеживаем как UNC1069», — сказал Джон Халтквист, главный аналитик Группы разведки угроз Google. «Северокорейские хакеры имеют большой опыт проведения атак на цепочку поставок, которые исторически использовали для кражи криптовалюты. Полный масштаб этого инцидента всё ещё неясен, но, учитывая популярность скомпрометированного пакета, мы ожидаем, что он будет иметь далеко идущие последствия».
Хакер смог внедрить вредоносный код внутрь Axios, скомпрометировав учётную запись одного из основных разработчиков проекта, который был авторизован на публикацию обновлений. Хакер заменил легитимный адрес электронной почты разработчика в учётной записи на свой собственный, что затруднило разработчику восстановление доступа.
Получив контроль над учётной записью, хакер вставил вредоносный код, предназначенный для доставки трояна удалённого доступа (RAT) — по сути, программы, которая может предоставить хакерам полный удалённый контроль над компьютером жертвы. Затем хакер выложил новые версии Axios в виде обновления, выглядевшего легитимно, для пользователей Windows, macOS и Linux.
По словам исследователей безопасности, хакеры также спроектировали вредоносное ПО, а также часть кода, используемого для его доставки, таким образом, чтобы оно автоматически удалялось после установки в попытке скрыться от антивирусных движков и следователей.
Обновлено, чтобы включить информацию от Google о связи атаки с Северной Кореей.
Залишити відповідь