|
Предполагаемый северокорейский хакер взломал и модифицировал популярный инструмент разработки программного обеспечения с открытым исходным кодом для распространения вредоносного ПО, которое может подвергнуть риску миллионы разработчиков.
В понедельник хакер распространил вредоносные версии широко используемой библиотеки JavaScript под названием Axios, на которую разработчики полагаются, чтобы их программное обеспечение могло подключаться к Интернету. Затронутая библиотека была размещена в npm , хранилище программного обеспечения, в котором хранится код для проектов с открытым исходным кодом. Axios загружается десятки миллионов раз каждую неделю.
По данным охранной фирмы StepSecurity, , которая проанализировала атаку, атака была обнаружена и пресечена примерно через три часа в ночь с понедельника на вторник.
Хакеры все чаще нацеливаются на разработчиков популярных проектов с открытым исходным кодом, стремясь массово взломать любого, кто использует скомпрометированный код, потенциально предоставляя хакерам доступ к огромному количеству уязвимых устройств. Такого рода широко распространенные нарушения называются атаками на цепочку поставок, поскольку они нацелены на программное обеспечение, которое позволяет хакерам затем взломать любого, кто загрузил скомпрометированное программное обеспечение. В последние годы хакеры атаковали такие компании, как 3CX , Kaseya и SolarWinds , а также в качестве инструментов с открытым исходным кодом, таких как Log4j и Polyfill.io , ориентированные на большое количество своих пользователей.
На данный момент неясно, сколько людей скачали вредоносную версию Axios за этот промежуток времени. Охранная компания Aikido, которая также расследовала инцидент, заявила, что любой, кто загрузил код, “должен предполагать, что его система взломана".
Google сообщила AGI_LOG, что ее исследователи в области безопасности связывают взлом Axios с северокорейскими хакерами.
“Мы связали атаку с предполагаемым северокорейским злоумышленником, которого мы отслеживаем как UNC1069”, - сказал Джон Халтквист, главный аналитик группы анализа угроз Google. “Северокорейские хакеры имеют большой опыт в атаках на цепочки поставок, которые они исторически использовали для кражи криптовалюты. Масштабы этого инцидента пока неясны, но, учитывая популярность взломанного пакета, мы ожидаем, что он будет иметь далеко идущие последствия”.
Хакер смог внедрить вредоносный код в Axios, взломав учетную запись одного из основных разработчиков проекта, который был уполномочен публиковать обновления. Хакер заменил адрес электронной почты законного разработчика в учетной записи на свой собственный, что усложнило для разработчика восстановление доступа.
Получив контроль над учетной записью, хакер ввел вредоносный код, предназначенный для доставки троянской программы удаленного доступа, или RAT — по сути, вредоносного ПО, которое может предоставить хакерам полный удаленный контроль над компьютером жертвы. Затем хакер выпустил новые версии Axios в виде законного обновления для пользователей Windows, macOS и Linux.
По словам исследователей в области безопасности, хакеры также разработали вредоносное ПО, а также часть кода, используемого для его доставки, для автоматического удаления после установки, чтобы попытаться скрыться от антивирусных систем и исследователей.
Обновлено, чтобы включить информацию от Google о том, что вредоносное ПО относится к Северной Корее.
