Північнокорейська кібератака, яка в понеділок на короткий час захопила один із найширше використовуваних проєктів з відкритим кодом в інтернеті, готувалася тижнями в рамках довготривалої кампанії з націлювання на провідних розробників цього коду.
Викрадення проєкту Axios 31 березня частково вдалося тому, що воно спиралося на добре забезпечених хакерів, які протягом тривалого часу будували стосунки та довіру зі своєю ціллю, щоб підвищити шанси на успішний компрометацію. Таке зламування підкреслює проблеми безпеки, з якими стикаються розробники популярних проєктів з відкритим кодом, особливо коли державні хакери та кіберзлочинці націлюються на широко використовувані проєкти через їхню здатність отримувати доступ, у деяких випадках, до мільйонів пристроїв по всьому світу.
Джейсон Саайман, який підтримує популярний проєкт Axios, що використовується розробниками для підключення своїх застосунків до інтернету, надав посмертний аналіз з хронологією зламу. Він розповів, що хакери почали свою кампанію приблизно за два тижні до того, як остаточно отримали контроль над його комп’ютером для поширення шкідливого коду.
Вдаючи з себе реальну компанію, створюючи правдоподібний робочий простір у Slack і використовуючи фейкові профілі її співробітників для створення довіри, підозрювані північнокорейські хакери, за словами Сааймана, запросили його на веб-зустріч, яка спонукала його завантажити шкідливе програмне забезпечення, замасковане під оновлення, необхідне для доступу до дзвінка. Саайман зазначив, що ця приманка імітувала техніку, яку використовують північнокорейські хакери, щоб обманом змусити потенційних жертв надати хакерам віддалений доступ до своєї системи, часто для крадіжки криптовалюти.
Ця атака, за словами Сааймана, імітувала попередні злами, приписувані Північній Кореї дослідниками безпеки з Google.
Після компрометації та отримання віддаленого доступу до комп’ютера Сааймана хакери випустили шкідливі оновлення для проєкту Axios.
Два шкідливі пакети Axios, вилучені приблизно через три години після їхньої першої публікації 31 березня, могли все ж заразити тисячі систем за цей проміжок часу, хоча повний масштаб масового злому поки що не зовсім зрозумілий. Будь-який комп’ютер, на якому було встановлено шкідливу версію програмного забезпечення за цей час, міг дозволити хакерам вкрасти з цього комп’ютера приватні ключі, облікові дані та паролі, що може призвести до подальших порушень.
Саайман не відповів на електронний лист із запитаннями про інцидент.
Північнокорейські хакери залишаються однією з найактивніших кіберзагроз в інтернеті сьогодні, їм приписують крадіжку щонайменше 2 мільярдів доларів у криптовалюті лише за 2025 рік.
Режим Кім Чен Ина залишається під міжнародними санкціями та відключеним від глобальної фінансової мережі за порушення заборони на свою програму розробки ядерної зброї, яку країна значною мірою фінансує за допомогою кібератак та крадіжок криптовалюти.
Вважається, що Північна Корея має тисячі високоорганізованих хакерів — більшість з яких працюють проти своєї волі під репресивним режимом Кіма. Ці хакери витрачають тижні або місяці на проведення складних атак із соціальною інженерією, спрямованих на здобуття довіри та зрештою доступу для крадіжки криптовалюти та даних з метою вимагання від жертв.
Залишити відповідь