Хакер внедрил вредоносное ПО в Axios, инструмент с открытым исходным кодом, который еженедельно загружается десятки миллионов раз, в рамках широкомасштабной атаки. — techcrunch.com
В понедельник хакер внедрил вредоносные версии широко используемой библиотеки JavaScript под названием Axios, на которую разработчики полагаются для обеспечения подключения своего программного обеспечения к интернету. Затронутая библиотека размещалась на npm — репозитории программного обеспечения, хранящем код для проектов с открытым исходным кодом. Axios загружается десятки миллионов раз еженедельно.
Перехват был обнаружен и остановлен примерно через три часа в ночь с понедельника на вторник, по данным фирмы безопасности StepSecurity, которая проанализировала атаку.
Хакеры все чаще нацеливаются на разработчиков популярных проектов с открытым исходным кодом, стремясь массово взломать всех, кто использует скомпрометированный код, что потенциально дает хакерам доступ к огромному числу затронутых устройств. Подобные широкомасштабные взломы называются атаками на цепочку поставок программного обеспечения, поскольку они нацелены на ПО, которое позволяет хакерам затем взламывать всех, кто загрузил скомпрометированное программное обеспечение. В последние годы хакеры атаковали такие компании, как 3CX, Kaseya и SolarWinds, а также инструменты с открытым исходным кодом, такие как Log4j и Polyfill.io, чтобы нацелиться на большое количество их пользователей.
На данный момент неясно, сколько людей загрузили вредоносную версию Axios за этот промежуток времени. Компания безопасности Aikido, которая также расследовала инцидент, заявила, что любой, кто загрузил код, «должен считать свою систему скомпрометированной».
Хакеру удалось внедрить вредоносный код в Axios, скомпрометировав учетную запись одного из основных разработчиков проекта, который имел право выпускать обновления. Хакер заменил адрес электронной почты легитимного разработчика в учетной записи на свой собственный, что затруднило восстановление доступа разработчику.
Получив контроль над учетной записью, хакер внедрил вредоносный код, предназначенный для доставки трояна удаленного доступа, или RAT — по сути, вредоносного ПО, которое может предоставить хакерам полный удаленный контроль над компьютером жертвы. Затем хакер выпустил новые версии Axios в виде легитимного обновления для пользователей Windows, macOS и Linux.
По словам исследователей безопасности, хакеры также разработали вредоносное ПО, а также часть кода, использовавшегося для его доставки, таким образом, чтобы оно автоматически удалялось после установки в попытке скрыть его от антивирусных программ и следователей.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lorenzo Franceschi-Bicchierai