Разработчики Axios опубликовали отчет о том, как один из них стал жертвой кампании соц. инженерии, предположительно, организованной северокорейскими хакерами. Злоумышленники внедрили вредоносную зависимость в пакеты Axios. — bleepingcomputer.com
Разработчики популярного HTTP-клиента Axios опубликовали подробный отчет о случившемся, в котором описывается, как один из их разработчиков стал целью кампании по социальной инженерии, связанной с северокорейскими хакерами.
Это произошло после того, как злоумышленники скомпрометировали учетную запись одного из мейнтейнеров и опубликовали две вредоносные версии Axios (1.14.1 и 0.30.4) в реестре пакетов npm, спровоцировав атаку на цепочку поставок.
Эти релизы внедрили зависимость под названием plain-crypto-js, которая устанавливала троян удаленного доступа (RAT) в системах macOS, Windows и Linux.
Вредоносные версии были доступны около трех часов, после чего их удалили, но системы, которые успели их установить в этот период, следует считать скомпрометированными, а все учетные данные и ключи аутентификации необходимо сменить.
Мейнтейнеры Axios заявили, что очистили затронутые системы, сбросили все учетные данные и внедряют изменения для предотвращения подобных инцидентов.
Группа Google Threat Intelligence впоследствии связала эту атаку с северокорейскими злоумышленниками, отслеживаемыми как UNC1069.
“GTIG связывает эту активность с UNC1069 — северокорейской группировкой, мотивированной финансовыми целями и активной как минимум с 2018 года, на основании использования WAVESHAPER.V2, обновленной версии WAVESHAPER, ранее использовавшейся этой группировкой”, — объясняет Google.
“Кроме того, анализ артефактов инфраструктуры, использованных в этой атаке, показывает совпадения с инфраструктурой, которую UNC1069 использовала в предыдущей деятельности”.
Цель атаки социальной инженерии
Согласно отчету о случившемся, компрометация началась несколькими неделями ранее в результате целенаправленной атаки социальной инженерии на ведущего мейнтейнера проекта, Джейсона Сэймена (Jason Saayman).
Злоумышленники выдавали себя за легитимную компанию, скопировали ее брендинг и изображения основателей и пригласили мейнтейнера в рабочее пространство Slack, созданное для имитации этой компании. Сэймен утверждает, что сервер Slack содержал реалистичные каналы с инсценированной активностью и поддельными профилями, изображавшими сотрудников и других разработчиков открытого ПО.
“Затем меня пригласили в реальное рабочее пространство Slack. Это рабочее пространство было брендировано под CI компании и имело правдоподобное название”, — объяснил Сэймен в сообщении к отчету.
“Slack был продуман очень хорошо: у них были каналы, где они делились постами из LinkedIn, которые, как я полагаю, вели на аккаунт реальной компании, но это выглядело очень убедительно и т. д. У них даже были, как я полагаю, поддельные профили команды компании, а также ряда других мейнтейнеров OSS”.
Затем злоумышленники назначили встречу в Microsoft Teams, в которой, по-видимому, участвовало множество людей.
Во время звонка было отображено техническое сообщение об ошибке, утверждавшее, что что-то в системе устарело, и это побудило мейнтейнера установить обновление Teams для устранения ошибки. Однако это поддельное обновление на самом деле было вредоносным ПО RAT, которое предоставило злоумышленникам удаленный доступ к устройству мейнтейнера, позволив им получить учетные данные npm для проекта Axios.
Другие мейнтейнеры сообщили о схожих атаках социальной инженерии, в ходе которых злоумышленники пытались заставить их установить поддельное обновление Microsoft Teams SDK.
Эта атака схожа с атакой ClickFix, при которой жертвам показывают поддельное сообщение об ошибке, а затем предлагают выполнить шаги по устранению неполадок, которые развертывают вредоносное ПО.
Эта атака также перекликается с предыдущими кампаниями, о которых сообщали аналитические группы Google, в которых северокорейские злоумышленники UNC1069 использовали ту же тактику для атаки на криптовалютные компании.
В предыдущих кампаниях, приписываемых злоумышленникам UNC1069, они развертывали на устройствах дополнительные полезные нагрузки, такие как бэкдоры, загрузчики и стиллеры данных, предназначенные для кражи учетных данных, данных браузера, токенов сеансов и другой конфиденциальной информации.
Поскольку злоумышленники получили доступ к аутентифицированным сеансам, защита MFA была фактически обойдена, что позволило получить доступ к учетным записям без повторной аутентификации.
Мейнтейнеры Axios подтвердили, что атака не включала изменение исходного кода проекта, а вместо этого полагалась на внедрение вредоносной зависимости в, казалось бы, легитимные релизы.
Пелле Вессман (Pelle Wessman), мейнтейнер многочисленных проектов с открытым исходным кодом, включая популярный фреймворк Mocha, сообщил в LinkedIn, что он стал целью той же кампании, и поделился скриншотом поддежного сообщения об ошибке соединения RTC, использовавшегося для обмана целей с целью установки вредоносного ПО.
Когда Вессман отказался устанавливать приложение, злоумышленники попытались убедить его выполнить команду Curl.
“Когда стало ясно, что я не буду запускать приложение, и мы пообщались на сайте и в чат-приложении, они предприняли последнюю отчаянную попытку и попытались заставить меня выполнить команду curl, которая бы загрузила и запустила что-то, а когда я отказался, они исчезли и удалили все переписки”, — объяснил Вессман.
Фирма по кибербезопасности Socket также сообщила, что это была скоординированная кампания, которая начала нацеливаться на мейнтейнеров популярных проектов Node.js.
Несколько разработчиков, включая мейнтейнеров широко используемых пакетов и контрибьюторов ядра Node.js, сообщили о получении аналогичных сообщений и приглашений в рабочие пространства Slack, управляемые злоумышленниками.
Socket отметила, что эти мейнтейнеры отвечают за пакеты с миллиардами еженедельных загрузок, что свидетельствует о том, что злоумышленники сосредоточились на проектах с высоким влиянием.
“С момента публикации нашего первоначального анализа компрометации Axios, глубокого изучения его скрытого радиуса поражения и отчета мейнтейнера, подтверждающего социальную инженерию, мейнтейнеры по всей экосистеме Node.js начали сообщать, что они стали целью той же кампании социальной инженерии”, — объяснила Socket.
“Теперь эти аккаунты охватывают некоторые из наиболее зависимых пакетов в реестре npm и само ядро Node.js, и вместе они подтверждают, что Axios не был единичной целью. Это была часть скоординированного, масштабируемого шаблона атаки, направленного на высокодоверенных, высокозначимых разработчиков открытого ПО”.
Socket заявила, что кампания следовала последовательному шаблону: сначала злоумышленники вступали в контакт через такие платформы, как LinkedIn или Slack, а затем приглашали адресатов в частные или полузакрытые рабочие пространства.
После установления доверительных отношений злоумышленники назначали видеозвонки, которые в некоторых случаях проводились через сайты, имитирующие Microsoft Teams и другие платформы.
Во время этих звонков жертвам отображалось сообщение об ошибке, которое побуждало их установить “нативное” настольное ПО для лучшей работы или выполнить команды для устранения технических проблем.
Использование одного и того же сценария против всех этих целей в течение одного и того же периода времени указывает на то, что это была скоординированная кампания, а не серия единичных атак.
Исследователи Socket считают, что такие атаки на цепочки поставок становятся все более распространенными, и теперь злоумышленники фокусируются на широко используемых пакетах, чтобы вызвать масштабное воздействие.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams