Хакери, яких підозрюють у зв’язку з Coreia з Norte, зламали програмне забезпечення Axios, бібліотеку з відкритим кодом, яка широко використовується американськими компаніями для керування HTTP-запитами у веб-додатках. Інцидент стався у вівторок вранці, коли зловмисники близько трьох годин мали доступ до облікового запису розробника, відповідального за проект. Durante Протягом цього періоду вони надсилали шкідливі оновлення організаціям, які завантажували скомпрометовані версії.
Компанії з різних секторів, включаючи охорону здоров’я, фінанси та компанії, які працюють з криптоактивами, використовують Axios для створення та підтримки своїх веб-сайтів і програм. Google Фірма кіберрозвідки Mandiant приписала атаку північнокорейській хакерській групі. Especialistas вказують на те, що основна мета передбачає крадіжку облікових даних і доступу до систем для подальшого видобутку криптовалют.
Початковий доступ і зловмисне поширення
Зловмисники зламали обліковий запис розробника та опублікували змінені версії Axios у реєстрі npm. Оновлення Essas включали зловмисну залежність, яка встановлювала бекдор, здатний працювати в системах Windows, macOS і Linux. Ця дія дозволяла автоматично розповсюджувати зловмисне програмне забезпечення всім, хто завантажив пакет під час вікна виявлення.
Компанії, які інтегрували уражені версії, повинні діяти швидко, щоб ізолювати системи та оцінити можливі компроміси. Гонка за відновлення контролю над обліковим записом і видалення шкідливого коду мобілізувала команди безпеки в багатьох організаціях.
Початкова оцінка потерпілого
Huntress виявив приблизно 135 скомпрометованих пристроїв, що належать приблизно 12 компаніям. Номери Esses представляють лише початкову частину потенційних жертв, оскільки багато організацій все ще перевіряють, чи завантажили вони проблемні версії. Обсяг щотижневих завантажень Axios перевищує десятки мільйонів, що розширює масштаб інциденту.
Фахівці з кібербезпеки відстежують трафік, щоб виявити підключення до командних і контрольних серверів, які використовують зловмисники. Розслідування продовжує відображати всі уражені системи та зменшувати ризики, що залишилися.
Довгий прогноз кампанії
Чарльз Carmakal, технічний директор Mandiant, заявив, що хакери повинні спробувати використати отриманий доступ для викрадення криптовалют у компаній. Ele оцінив, що для повної оцінки впливу знадобляться місяці детального аналізу в корпоративному середовищі. Відповідальна група має історію фінансових операцій, мотивованих прибутками, які приносять користь режиму Pyongyang.
Джон Hammond, дослідник Huntress, описав атаку як ідеально вчасну, скориставшись дедалі більшим використанням інструментів штучного інтелекту в розробці програмного забезпечення без належної перевірки безпеки. Muitas Компанії впроваджують компоненти з відкритим кодом без глибокої перевірки, створюючи вразливі місця в ланцюзі постачання.
Історія подібних операцій
Цей випадок є ще одним епізодом атак на ланцюги поставок, які приписують північнокорейським хакерам. Há Три роки тому подібна група зламала інше популярне програмне забезпечення, яке використовується мережами закладів охорони здоров’я та готелями для голосових і відеодзвінків. Кібероперації є важливим джерелом доходу для країни, яка стикається з жорсткими міжнародними санкціями.
Звіти показують, що хакери, пов’язані з Norte, вкрали мільярди доларів у криптовалютах і банківських коштах за останні роки. Parte з цих ресурсів фінансує ракетні та ядерні програми, згідно з оцінками влади та міжнародних організацій. Минулого року одна атака призвела до крадіжки криптовалютних активів на 1,5 мільярда доларів.
Уразливості в ланцюжку постачання програмного забезпечення
Axios служить невидимим, але важливим інструментом, який дозволяє програмам підключатися до служб в Інтернеті. Sua Популярність робить пакет привабливою ціллю для операцій, які прагнуть масштабу та початкової скритності. Покладання на компоненти з відкритим кодом без постійної перевірки відкриває двері для зловмисних вставок.
Експерти рекомендують організаціям терміново переглянути використання Axios у своїх середовищах і застосувати доступні виправлення. Видалення скомпрометованих версій і впровадження суворих процесів перевірки пакетів допомагає зменшити майбутні ризики в проектах розробки.
Coreia Хакери використовують широко поширені засоби розробки, щоб отримати постійний доступ до корпоративних мереж. Інцидент посилює необхідність приділяти більше уваги цілісності оновлень бібліотек з відкритим кодом, якими щодня користуються тисячі компаній.