Nordkoreanische Hacker kompromittieren Axios-Software, die von Tausenden US-Unternehmen verwendet wird

Hacker, die im Verdacht standen, mit Coreia von Norte verknüpft zu sein, brachen in die Software Axios ein, eine Open-Source-Bibliothek, die von amerikanischen Unternehmen häufig zur Verwaltung von HTTP-Anfragen in Webanwendungen verwendet wird. Der Vorfall ereignete sich am Dienstagmorgen, als Angreifer rund drei Stunden lang Zugriff auf das Konto eines für das Projekt verantwortlichen Entwicklers hatten. Durante Während dieser Zeit schickten sie bösartige Updates an Organisationen, die die kompromittierten Versionen heruntergeladen hatten.

Unternehmen aus verschiedenen Branchen, darunter Gesundheitswesen, Finanzen und Unternehmen, die sich mit Krypto-Assets befassen, nutzen Axios, um ihre Websites und Anwendungen zu erstellen und zu warten. Google Das Cyber-Intelligence-Unternehmen Mandiant führte den Angriff einer nordkoreanischen Hackergruppe zu. Especialistas weisen darauf hin, dass das Hauptziel der Diebstahl von Anmeldeinformationen und der Zugriff auf Systeme zur anschließenden Extraktion von Kryptowährungen ist.

Erstzugriff und böswillige Verbreitung

Die Angreifer haben das Entwicklerkonto kompromittiert und veränderte Versionen von Axios in der npm-Registrierung veröffentlicht. Essas-Updates enthielten eine bösartige Abhängigkeit, die eine Hintertür installierte, die auf den Systemen Windows, macOS und Linux funktionieren konnte. Die Aktion ermöglichte die automatische Verteilung der Malware an jeden, der das Paket während des Offenlegungsfensters heruntergeladen hatte.

Unternehmen, die die betroffenen Versionen integriert haben, mussten schnell handeln, um Systeme zu isolieren und mögliche Gefährdungen zu bewerten. Der Wettlauf um die Wiedererlangung der Kontrolle über das Konto und die Entfernung des Schadcodes hat Sicherheitsteams in mehreren Organisationen mobilisiert.

Erste Einschätzung des Opfers

Huntress identifizierte etwa 135 kompromittierte Geräte, die etwa 12 Unternehmen gehörten. Esses-Nummern stellen nur einen ersten Teil der potenziellen Opfer dar, da viele Organisationen immer noch untersuchen, ob sie die problematischen Versionen heruntergeladen haben. Das Volumen der wöchentlichen Downloads von Axios übersteigt mehrere zehn Millionen, was das Ausmaß des Vorfalls erweitert.

Cybersicherheitsexperten überwachen den Datenverkehr, um Verbindungen zu von Angreifern genutzten Command-and-Control-Servern zu erkennen. Die Untersuchung führt weiterhin eine Kartierung aller betroffenen Systeme durch und mindert verbleibende Risiken.

Längere Kampagnenprognose

Charles Carmakal, Chief Technology Officer bei Mandiant, erklärte, dass Hacker versuchen sollten, den gewonnenen Zugang auszunutzen, um Kryptowährungen von Unternehmen zu stehlen. Ele schätzt, dass eine vollständige Folgenabschätzung monatelange detaillierte Analysen im Unternehmensumfeld erfordern wird. Die verantwortliche Gruppe verfügt über eine Geschichte von Finanzgeschäften, die durch Gewinne motiviert sind, die dem Pyongyang-Regime zugute kommen.

Leia Tambem

Colby Minifie bestätigt Ashley Barretts Kräfte in der fünften Staffel von The Boys

Samsung veröffentlicht ein neues Systemupdate mit neuen Funktionen für Benutzer der Galaxy Watch 4

Gerüchten zufolge bereitet Nintendo eine Sonderedition der Switch 2 mit einem Remake von Ocarina of Time vor

John Hammond, ein Forscher bei Huntress, beschrieb den Angriff als perfekt getimt und nutzte den zunehmenden Einsatz von Tools der künstlichen Intelligenz in der Softwareentwicklung ohne angemessene Sicherheitsüberprüfungen. Muitas Unternehmen integrieren Open-Source-Komponenten ohne gründliche Überprüfung, was zu Schwachstellen in der Lieferkette führt.

Geschichte ähnlicher Operationen

Dieser Fall stellt eine weitere Episode von Angriffen auf die Lieferkette dar, die nordkoreanischen Hackern zugeschrieben werden. Há Vor drei Jahren hat eine ähnliche Gruppe andere beliebte Software kompromittiert, die von Gesundheitsketten und Hotels für Sprach- und Videoanrufe eingesetzt wird. Cyber-Operationen sind eine wichtige Einnahmequelle für das Land, das mit strengen internationalen Sanktionen konfrontiert ist.

Berichten zufolge haben mit Norte in Verbindung stehende Hacker in den letzten Jahren Kryptowährungen und Bankgelder in Milliardenhöhe gestohlen. Parte dieser Ressourcen finanzieren nach Einschätzung von Behörden und internationalen Organisationen Raketen- und Nuklearprogramme. Letztes Jahr führte ein einziger Angriff zum Diebstahl von Krypto-Assets im Wert von 1,5 Milliarden US-Dollar.

Schwachstellen in der Software-Lieferkette

Axios dient als unsichtbares, aber unverzichtbares Tool, das es Anwendungen ermöglicht, eine Verbindung zu Diensten im Internet herzustellen. Sua Die Beliebtheit macht das Paket zu einem attraktiven Ziel für Operationen, die Größe und anfängliche Tarnung anstreben. Die Abhängigkeit von Open-Source-Komponenten ohne ständige Überprüfung öffnet böswilligen Einfügungen Tür und Tor.

Experten empfehlen Unternehmen dringend, den Einsatz von Axios in ihren Umgebungen zu überprüfen und verfügbare Fixes anzuwenden. Das Entfernen kompromittierter Versionen und die Implementierung strenger Paketüberprüfungsprozesse tragen dazu bei, zukünftige Risiken in Entwicklungsprojekten zu reduzieren.

Coreia Hacker nutzen weit verbreitete Entwicklungstools, um dauerhaften Zugriff auf Unternehmensnetzwerke zu erhalten. Der Vorfall unterstreicht die Notwendigkeit, der Integrität von Updates für Open-Source-Bibliotheken, die täglich von Tausenden von Unternehmen verwendet werden, größere Aufmerksamkeit zu schenken.