Główny deweloper biblioteki Axios ujawnił, że podejrzani północnokoreańscy hakerzy przez około dwa tygodnie budowali zaufanie, zanim przejęli jego komputer i opublikowali złośliwe aktualizacje. Atak został wykryty i usunięty w kilka godzin, jednak w tym czasie złośliwe pakiety mogły trafić do wielu instalacji.
Przebieg ataku
Według relacji maintenera, kampania zaczęła się około dwóch tygodni przed kompromitacją. 31 marca napastnicy uzyskali zdalny dostęp do komputera dewelopera i opublikowali dwie złośliwe paczki, które usunięto z repozytorium po około trzech godzinach.
Metoda i techniki
Atak opierał się na zaawansowanej socjotechnice: fałszywa firma, realistyczne konto Slack i spreparowane profile pracowników zachęciły maintenera do dołączenia do spotkania online, podczas którego miał pobrać rzekomą aktualizację umożliwiającą dostęp do połączenia — w rzeczywistości był to malware dający napastnikom zdalny dostęp.
- Cel: projekt Axios — popularna biblioteka do komunikacji sieciowej.
- Data kompromitacji: 31 marca; złośliwe paczki usunięto po ~3 godzinach.
- Czas przygotowania ataku: około dwóch tygodni budowania zaufania.
- Potencjalne skutki: kradzież kluczy prywatnych, haseł i danych uwierzytelniających.
Skutki i szerszy kontekst
Nawet krótka dostępność złośliwych wersji mogła narazić tysiące systemów. Atak wpisuje się w trend wykorzystywania projektów open source jako wektora do masowych przejęć. Północnokoreańskie grupy hakerskie są powiązywane z licznymi kradzieżami kryptowalut i działaniami finansującymi reżim.
Zalecenia dla deweloperów i użytkowników
Deweloperzy projektów open source powinni stosować wielopoziomowe zabezpieczenia kont, weryfikację dwuskładnikową, audyty dostępu i podpisy pakietów. Użytkownicy powinni szybko aktualizować zależności z zaufanych źródeł, monitorować reputację wydawców i rotować poświadczenia po wykryciu incydentu.
