Северокорейские хакеры взломали программное обеспечение Axios, используемое тысячами американских компаний

Хакеры, подозреваемые в связях с Северной Кореей, взломали программное обеспечение Axios, библиотеку с открытым исходным кодом, широко используемую американскими компаниями для управления HTTP-запросами в веб-приложениях. Инцидент произошел во вторник утром, когда злоумышленники около трех часов имели доступ к аккаунту разработчика, ответственного за проект. В течение этого периода они рассылали вредоносные обновления организациям, скачавшим скомпрометированные версии.

Компании из различных секторов, включая здравоохранение, финансы и компании, занимающиеся криптоактивами, используют Axios для создания и поддержки своих веб-сайтов и приложений. Компания Mandiant, занимающаяся киберразведкой Google, приписала атаку северокорейской хакерской группе. Эксперты указывают, что основная цель предполагает кражу учетных данных и доступа к системам для последующей добычи криптовалют.

Первоначальный доступ и вредоносное распространение

Злоумышленники скомпрометировали учетную запись разработчика и опубликовали измененные версии Axios в реестре npm. Эти обновления включали вредоносную зависимость, которая устанавливала бэкдор, способный работать в системах Windows, macOS и Linux. Это действие позволило автоматически распространить вредоносное ПО среди всех, кто загрузил пакет в течение периода воздействия.

Компаниям, интегрировавшим уязвимые версии, необходимо было действовать быстро, чтобы изолировать системы и оценить возможные компромиссы. Гонка за восстановление контроля над учетной записью и удаление вредоносного кода мобилизовала команды безопасности во многих организациях.

Первоначальная оценка жертвы

Huntress выявила около 135 скомпрометированных устройств, принадлежащих примерно 12 компаниям. Эти цифры представляют собой лишь начальную часть потенциальных жертв, поскольку многие организации все еще расследуют, загружали ли они проблемные версии. Еженедельный объем загрузок Axios превышает десятки миллионов, что расширяет масштабы инцидента.

Эксперты по кибербезопасности отслеживают трафик, чтобы обнаружить соединения с серверами управления и контроля, используемыми злоумышленниками. Расследование продолжает отображать все затронутые системы и снижать оставшиеся риски.

Пролонгированный прогноз кампании

Чарльз Кармакал, технический директор Mandiant, заявил, что хакерам следует попытаться использовать полученный доступ для кражи криптовалют у компаний. По его оценкам, для полной оценки воздействия потребуются месяцы детального анализа в корпоративной среде. Ответственная группа имеет опыт финансовых операций, мотивированных получением выгоды в пользу режима Пхеньяна.

Leia Tambem

Samsung выпускает новое обновление системы с новыми функциями для пользователей Galaxy Watch 4

Значительная скидка на Galaxy S25 Plus снижает стоимость в интернет-магазине до уровня ниже 4500 реалов.

Слух предполагает, что Nintendo готовит специальное издание Switch 2 с ремейком Ocarina of Time

Джон Хаммонд, исследователь из Huntress, назвал атаку идеально своевременной, поскольку она воспользовалась растущим использованием инструментов искусственного интеллекта при разработке программного обеспечения без адекватных проверок безопасности. Многие компании используют компоненты с открытым исходным кодом без тщательной проверки, что создает уязвимости в цепочке поставок.

История подобных операций

Этот случай представляет собой еще один эпизод атак на цепочки поставок, приписываемый северокорейским хакерам. Три года назад аналогичная группа взломала другое популярное программное обеспечение, используемое сетями здравоохранения и отелями для голосовых и видеозвонков. Кибероперации служат важным источником дохода для страны, которая сталкивается с жесткими международными санкциями.

Сообщения показывают, что хакеры, связанные с Северной Кореей, за последние годы украли миллиарды долларов в криптовалютах и ​​банковских средствах. По оценкам властей и международных организаций, часть этих ресурсов финансирует ракетные и ядерные программы. В прошлом году одна атака привела к краже криптоактивов на сумму 1,5 миллиарда долларов.

Уязвимости в цепочке поставок программного обеспечения

Axios служит невидимым, но важным инструментом, который позволяет приложениям подключаться к сервисам в Интернете. Его популярность делает пакет привлекательной целью для операций, которым требуется масштаб и первоначальная конфиденциальность. Использование компонентов с открытым исходным кодом без постоянной проверки открывает двери для вредоносных вставок.

Эксперты рекомендуют организациям срочно пересмотреть использование Axios в своих средах и применить доступные исправления. Удаление скомпрометированных версий и внедрение строгих процессов проверки пакетов помогают снизить будущие риски в проектах разработки.

Северокорейские хакеры используют широко распространенные инструменты разработки для получения постоянного доступа к корпоративным сетям. Этот инцидент усиливает необходимость уделять больше внимания целостности обновлений библиотек с открытым исходным кодом, ежедневно используемых тысячами компаний.