แฮกเกอร์ชาวเกาหลีเหนือโจมตีซอฟต์แวร์ Axios ที่บริษัทสหรัฐฯ หลายพันแห่งใช้

แฮกเกอร์ที่ต้องสงสัยว่าเชื่อมโยงกับเกาหลีเหนือเจาะเข้าไปในซอฟต์แวร์ Axios ซึ่งเป็นไลบรารีโอเพ่นซอร์สที่บริษัทอเมริกันใช้กันอย่างแพร่หลายเพื่อจัดการคำขอ HTTP ในเว็บแอปพลิเคชัน เหตุการณ์ดังกล่าวเกิดขึ้นในเช้าวันอังคาร เมื่อผู้โจมตีเข้าถึงบัญชีของนักพัฒนาที่รับผิดชอบโครงการเป็นเวลาประมาณสามชั่วโมง ในช่วงเวลานี้ พวกเขาได้ส่งการอัปเดตที่เป็นอันตรายไปยังองค์กรที่ดาวน์โหลดเวอร์ชันที่ถูกบุกรุก

บริษัทจากภาคส่วนต่างๆ รวมถึงการดูแลสุขภาพ การเงิน และบริษัทที่เกี่ยวข้องกับสินทรัพย์ crypto ใช้ Axios เพื่อสร้างและบำรุงรักษาเว็บไซต์และแอปพลิเคชันของตน Mandiant บริษัทข่าวกรองทางไซเบอร์ของ Google ระบุว่าการโจมตีดังกล่าวมาจากกลุ่มแฮ็กชาวเกาหลีเหนือ ผู้เชี่ยวชาญระบุว่าวัตถุประสงค์หลักเกี่ยวข้องกับการขโมยข้อมูลประจำตัวและการเข้าถึงระบบเพื่อสกัด cryptocurrencies ในภายหลัง

การเข้าถึงครั้งแรกและการกระจายที่เป็นอันตราย

ผู้โจมตีโจมตีบัญชีนักพัฒนาซอฟต์แวร์และเผยแพร่ Axios เวอร์ชันที่แก้ไขไปยังรีจิสทรี npm การอัปเดตเหล่านี้รวมถึงการพึ่งพาที่เป็นอันตรายซึ่งติดตั้งแบ็คดอร์ที่สามารถทำงานได้บนระบบ Windows, macOS และ Linux การดำเนินการดังกล่าวทำให้มัลแวร์กระจายไปยังใครก็ตามที่ดาวน์โหลดแพ็คเกจโดยอัตโนมัติระหว่างช่วงเปิดรับแสง

บริษัทที่รวมเวอร์ชันที่ได้รับผลกระทบจำเป็นต้องดำเนินการอย่างรวดเร็วเพื่อแยกระบบและประเมินการประนีประนอมที่อาจเกิดขึ้น การแข่งขันเพื่อควบคุมบัญชีอีกครั้งและลบโค้ดที่เป็นอันตรายได้ระดมทีมรักษาความปลอดภัยในหลายองค์กร

การประเมินเหยื่อเบื้องต้น

Huntress ระบุอุปกรณ์ที่ถูกบุกรุกได้ประมาณ 135 เครื่อง ของบริษัทประมาณ 12 แห่ง ตัวเลขเหล่านี้เป็นเพียงส่วนเริ่มต้นของผู้ที่อาจตกเป็นเหยื่อ เนื่องจากองค์กรหลายแห่งยังคงตรวจสอบว่าพวกเขาดาวน์โหลดเวอร์ชันที่มีปัญหาหรือไม่ ปริมาณการดาวน์โหลดรายสัปดาห์ของ Axios เกินสิบล้าน ซึ่งขยายขอบเขตของเหตุการณ์นี้

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ตรวจสอบการรับส่งข้อมูลเพื่อตรวจจับการเชื่อมต่อกับเซิร์ฟเวอร์สั่งการและควบคุมที่ผู้โจมตีใช้ การสืบสวนยังคงจัดทำแผนที่ระบบที่ได้รับผลกระทบทั้งหมดและลดความเสี่ยงที่เหลืออยู่

การคาดการณ์แคมเปญที่ยืดเยื้อ

Charles Carmakal ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Mandiant กล่าวว่าแฮกเกอร์ควรพยายามใช้ประโยชน์จากการเข้าถึงที่ได้รับเพื่อขโมย cryptocurrencies จากบริษัทต่างๆ เขาคาดการณ์ว่าการประเมินผลกระทบอย่างครบถ้วนนั้นต้องใช้เวลาหลายเดือนในการวิเคราะห์สภาพแวดล้อมขององค์กรโดยละเอียด กลุ่มที่รับผิดชอบมีประวัติการดำเนินงานทางการเงินซึ่งได้รับแรงบันดาลใจจากผลกำไรที่เป็นประโยชน์ต่อระบอบการปกครองเปียงยาง

Leia Tambem

Colby Minifie ยืนยันพลังของ Ashley Barrett ใน The Boys ซีซั่นที่ 5

การทดสอบแบตเตอรี่ใหม่ทำให้ Galaxy S26 Ultra นำหน้า iPhone 17 Pro Max ในการจัดอันดับโลก

ผลวิจัยเผยพ่อแม่ไม่รู้ว่าลูกใช้ปัญญาประดิษฐ์อย่างไร

John Hammond นักวิจัยจาก Huntress อธิบายว่าการโจมตีเกิดขึ้นได้ทันเวลาพอดี โดยใช้ประโยชน์จากเครื่องมือปัญญาประดิษฐ์ที่เพิ่มมากขึ้นในการพัฒนาซอฟต์แวร์โดยไม่มีการตรวจสอบความปลอดภัยที่เพียงพอ บริษัทหลายแห่งรวมส่วนประกอบโอเพ่นซอร์สโดยไม่มีการตรวจสอบเชิงลึก ทำให้เกิดช่องโหว่ในห่วงโซ่อุปทาน

ประวัติการดำเนินงานที่คล้ายกัน

กรณีนี้ถือเป็นอีกเหตุการณ์หนึ่งของการโจมตีห่วงโซ่อุปทานที่เกิดจากแฮกเกอร์ชาวเกาหลีเหนือ เมื่อสามปีที่แล้ว กลุ่มที่คล้ายกันได้บุกรุกซอฟต์แวร์ยอดนิยมอื่นๆ ที่ใช้โดยเครือข่ายการดูแลสุขภาพและโรงแรมสำหรับการโทรด้วยเสียงและวิดีโอ การดำเนินงานทางไซเบอร์เป็นแหล่งรายได้ที่สำคัญของประเทศซึ่งเผชิญกับการคว่ำบาตรระหว่างประเทศที่เข้มงวด

รายงานระบุว่าแฮกเกอร์ที่เชื่อมโยงกับเกาหลีเหนือได้ขโมยเงินดิจิทัลและกองทุนธนาคารมูลค่าหลายพันล้านดอลลาร์ในช่วงไม่กี่ปีที่ผ่านมา ส่วนหนึ่งของทรัพยากรเหล่านี้สนับสนุนทางการเงินแก่โครงการขีปนาวุธและนิวเคลียร์ ตามการประเมินของหน่วยงานและองค์กรระหว่างประเทศ เมื่อปีที่แล้ว การโจมตีเพียงครั้งเดียวส่งผลให้มีการขโมยสินทรัพย์ crypto มูลค่า 1.5 พันล้านดอลลาร์

ช่องโหว่ในห่วงโซ่อุปทานซอฟต์แวร์

Axios ทำหน้าที่เป็นเครื่องมือที่มองไม่เห็นแต่จำเป็นที่ช่วยให้แอปพลิเคชันเชื่อมต่อกับบริการบนอินเทอร์เน็ตได้ ความนิยมทำให้แพ็คเกจนี้เป็นเป้าหมายที่น่าสนใจสำหรับการดำเนินงานที่แสวงหาขนาดและดุลยพินิจเบื้องต้น การพึ่งพาส่วนประกอบโอเพ่นซอร์สโดยไม่มีการตรวจสอบอย่างต่อเนื่องจะเปิดประตูสู่การแทรกที่เป็นอันตราย

ผู้เชี่ยวชาญแนะนำให้องค์กรต่างๆ ตรวจสอบการใช้ Axios ในสภาพแวดล้อมของตนอย่างเร่งด่วน และใช้การแก้ไขที่มีอยู่ การลบเวอร์ชันที่ถูกบุกรุกและการใช้กระบวนการตรวจสอบแพ็คเกจที่เข้มงวดจะช่วยลดความเสี่ยงในอนาคตในโครงการพัฒนา

แฮกเกอร์ชาวเกาหลีเหนือใช้ประโยชน์จากเครื่องมือการพัฒนาที่นำมาใช้อย่างกว้างขวางเพื่อเข้าถึงเครือข่ายองค์กรอย่างต่อเนื่อง เหตุการณ์ดังกล่าวตอกย้ำความต้องการความเอาใจใส่ที่มากขึ้นต่อความสมบูรณ์ของการอัปเดตไลบรารีโอเพ่นซอร์สที่บริษัทหลายพันแห่งใช้งานทุกวัน