Сопровождающие широко используемой HTTP-библиотеки Axios раскрыли информацию о сложной атаке на цепочку поставок программного обеспечения, ставшей результатом успешной кампании социальной инженерии. Учетная запись одного из разработчиков была скомпрометирована, что позволило злоумышленникам опубликовать две вредоносные версии (1.14.1 и 0.30.4) в реестре пакетов npm. Эти скомпрометированные пакеты внедряли зависимость под названием `plain-crypto-js`, которая развертывала кроссплатформенный троян удаленного доступа (RAT), способный заражать системы macOS, Windows и Linux. Вредоносные версии были доступны примерно три часа до их обнаружения и удаления, но любую систему, установившую их в этот период, следует считать полностью скомпрометированной. Команда Axios отреагировала, очистив затронутые системы, сменив все учетные данные и внедрив усиленные протоколы безопасности для предотвращения повторения инцидента.
Группа анализа угроз Google (GTIG) с высокой степенью уверенности приписала эту атаку северокорейскому субъекту угроз, отслеживаемому как UNC1069. Эта финансово мотивированная группа, активная как минимум с 2018 года, была идентифицирована на основе использования обновленного варианта вредоносного ПО под названием WAVESHAPER.V2, инструмента, ранее связанного с их операциями. Методология атаки раскрывает тревожную эволюцию в киберстратегии Северной Кореи, которая все чаще сочетает шпионаж с финансово мотивированными кампаниями, часто нацеливаясь на экосистемы с открытым исходным кодом для достижения широкого и скрытого проникновения.
Первоначальная компрометация была достигнута с помощью высокоцелевой уловки социальной инженерии. Злоумышленник выдавал себя за разработчика, столкнувшегося с ошибкой в Microsoft Teams, и запросил помощь у одного из сопровождающих Axios. Затем он отправил ссылку на вредоносный репозиторий, замаскированную под необходимое исправление. Когда сопровождающий клонировал и выполнил код, это вызвало скрытый захват учетной записи, предоставив злоумышленнику права на публикацию в реестре npm. Этот инцидент подчеркивает критическую человеческую уязвимость в цепочках поставок программного обеспечения, где скомпрометированная учетная запись одного разработчика может поставить под угрозу миллионы конечных пользователей и приложений.
В ответ на утечку сопровождающие Axios предприняли всеобъемлющие меры по сдерживанию и выступают за более широкие отраслевые изменения. Все сопровождающие прошли обучение по безопасности, и в проекте было введено обязательное двухфакторная аутентификация (2FA) для всех административных учетных записей. Кроме того, они изучают возможность криптографического подписания пакетов и более строгого контроля над правами на публикацию. Это событие служит stark напоминанием для всех проектов с открытым исходным кодом о необходимости аудита контроля доступа, обязательного внедрения 2FA и обучения сопровождающих передовым тактикам социальной инженерии. Для организаций это подтверждает необходимость внедрения надежных практик ведения реестра компонентов программного обеспечения (SBOM) и проактивного мониторинга зависимостей.
