Хакери атакують популярний проєкт Axios: як мільйони користувачів стали жертвами шкідливого програмного забезпечення
Виявлено небезпечну ситуацію, коли хакер, ймовірно з Північної Кореї, зламав і модифікував популярний інструмент для розробки програмного забезпечення, що значно загрожує безпеці мільйонів розробників.
Нещодавно зловмисник поширив шкідливі версії відомої JavaScript бібліотеки Axios, яка широко використовується для забезпечення зв’язку програмного забезпечення з Інтернетом. Цей код був завантажений на npm – репозиторій програмного забезпечення, що містить відкриті проекти. Axios щотижня скачують десятки мільйонів користувачів.
Як зазначає аналітична компанія StepSecurity, з моменту виявлення атаки до її зупинки минуло приблизно три години, що свідчить про швидкість реакції на загрози.
Зловмисники все частіше намагаються атакувати розробників популярних відкритих проектів, прагнучи зламати мільйони користувачів, які покладаються на зламаний код. Ці масові атаки відомі як атаки на ланцюг постачання, оскільки вони націлені на програмне забезпечення, що дозволяє хакерам зламувати тих, хто завантажив скомпрометовану версію. У минулому переважно постраждали компанії, такі як 3CX, Kaseya, SolarWinds, а також відкриті інструменти на кшталт Log4j та Polyfill.io.
На даний момент залишається невідомим, скільки осіб могло завантажити шкідливу версію Axios в зазначений період. Експерти з безпеки з Aikido вважають, що всі користувачі, які отримали цей код, повинні вважати свої системи ураженими.
Команда дослідників Google також підтвердила зв’язок між компрометацією Axios і північнокорейськими хакерами. Джон Халтквіст, головний аналітик групи з загроз Google, зазначає: «Ми зв’язали цю атаку з підозрюваними хакерами з Північної Кореї, яких ми позначаємо як UNC1069. Вони мають значний досвід в атаках на ланцюги постачання, які раніше вживалися для викрадення криптовалюти. Повний масштаб цього інциденту поки що незрозумілий, але враховуючи популярність скомпрометованого пакета, ми очікуємо великих наслідків.»
Зловмисник має змогу ввести шкідливий код в Axios, зламавши обліковий запис одного з основних розробників проєкту, який мав право на оновлення. Він підмінив електронну адресу розробника, що ускладнило відновлення доступу. Вибравши цей шлях, хакер вставив шкідливий код, що розроблений для інсталяції шкідливого програмного забезпечення, здатного забезпечити віддалений доступ до комп’ютера жертви. Оновлення для Windows, macOS та Linux виглядало легітимним, але містило цей небезпечний компонент.
Щоб уникнути виявлення, зловмисники спроектували malware так, що деякі частини коду самостійно видаляються після інсталяції, що ускладнює аналіз для антивірусних екосистем.
