Севернокорейски хакери компрометират софтуера Axios, използван от хиляди американски компании

Хакери, за които се подозира, че са свързани с Coreia от Norte, проникнаха в софтуера Axios, библиотека с отворен код, широко използвана от американски компании за управление на HTTP заявки в уеб приложения. Инцидентът е станал във вторник сутринта, когато нападателите са имали достъп за около три часа до акаунта на разработчик, отговорен за проекта. Durante През този период те изпратиха злонамерени актуализации до организации, които изтеглиха компрометираните версии.

Компании от различни сектори, включително здравеопазване, финанси и компании, които се занимават с крипто активи, използват Axios за изграждане и поддръжка на своите уебсайтове и приложения. Google Фирмата за киберразузнаване Mandiant приписа атаката на севернокорейска хакерска група. Especialistas показват, че основната цел включва кражба на идентификационни данни и достъп до системи за последващо извличане на криптовалути.

Първоначален достъп и злонамерено разпространение

Нападателите са компрометирали акаунта на програмиста и са публикували променени версии на Axios в npm регистъра. Актуализациите Essas включват злонамерена зависимост, която инсталира задна вратичка, способна да работи на системи Windows, macOS и Linux. Действието позволи злонамереният софтуер да бъде автоматично разпространен до всеки, който изтегли пакета по време на прозореца за експозиция.

Компаниите, които интегрираха засегнатите версии, трябваше да действат бързо, за да изолират системите и да оценят възможните компромиси. Надпреварата за възстановяване на контрола върху акаунта и премахване на злонамерения код мобилизира екипи за сигурност в множество организации.

Първоначална оценка на жертвата

Huntress идентифицира приблизително 135 компрометирани устройства, принадлежащи на приблизително 12 компании. Числата Esses представляват само първоначална част от потенциалните жертви, тъй като много организации все още проучват дали са изтеглили проблемните версии. Обемът на седмичните изтегляния на Axios надхвърля десетки милиони, което разширява обхвата на инцидента.

Експертите по киберсигурност наблюдават трафика, за да открият връзки към командни и контролни сървъри, използвани от нападателите. Разследването продължава да картографира всички засегнати системи и да смекчава оставащите рискове.

Продължителна прогноза за кампанията

Чарлз Carmakal, главен технологичен директор на Mandiant, заяви, че хакерите трябва да се опитат да използват получения достъп, за да откраднат криптовалути от компании. Ele изчислява, че пълната оценка на въздействието ще изисква месеци подробен анализ в корпоративната среда. Отговорната група има история на финансови операции, мотивирани от печалби, които облагодетелстват режима Pyongyang.

Leia Tambem

Samsung пуска нова системна актуализация с нови функции за потребителите на Galaxy Watch 4

Дигиталната търговия на дребно намалява стойността на смартфона Galaxy S25 5G с банкови бонуси и обмен на устройства

Значителна отстъпка за Galaxy S25 Plus намалява стойността до под 4500 реала в онлайн магазина

Джон Hammond, изследовател на Huntress, описа атаката като перфектно навременна, възползвайки се от нарастващото използване на инструменти за изкуствен интелект в разработването на софтуер без адекватни прегледи на сигурността. Muitas Компаниите включват компоненти с отворен код без задълбочена проверка, създавайки уязвимости на веригата за доставки.

История на подобни операции

Този случай представлява още един епизод от атаки по веригата на доставки, приписвани на севернокорейски хакери. Há Преди три години подобна група компрометира друг популярен софтуер, използван от здравни вериги и хотели за гласови и видео разговори. Кибероперациите служат като важен източник на приходи за страната, която е изправена пред строги международни санкции.

Докладите показват, че хакери, свързани с Norte, са откраднали милиарди долари в криптовалути и банкови средства през последните години. Parte от тези ресурси финансират ракетни и ядрени програми, според оценки на власти и международни организации. Миналата година една атака доведе до кражба на 1,5 милиарда долара в крипто активи.

Уязвимости във веригата за доставка на софтуер

Axios служи като невидим, но основен инструмент, който позволява на приложенията да се свързват с услуги в интернет. Sua Популярността прави пакета привлекателна цел за операции, търсещи мащаб и първоначална скритост. Разчитането на компоненти с отворен код без постоянна проверка отваря вратата за злонамерени вмъквания.

Експертите препоръчват на организациите спешно да прегледат използването на Axios в техните среди и да приложат наличните корекции. Премахването на компрометирани версии и прилагането на стриктни процеси за проверка на пакетите помага за намаляване на бъдещите рискове в проектите за разработка.

Coreia Хакерите използват широко разпространени инструменти за разработка, за да получат постоянен достъп до корпоративни мрежи. Инцидентът засилва необходимостта от по-голямо внимание към целостта на актуализациите на библиотеки с отворен код, използвани ежедневно от хиляди компании.