Северокорейские хакеры внедрили вредоносные обновления в популярный проект с открытым исходным кодом, взломав компьютер ведущего разработчика в ходе длительной кампании. — techcrunch.com
Успех захвата проекта Axios 31 марта отчасти объясняется тем, что хакеры, обладающие значительными ресурсами, долгое время выстраивали отношения и доверие со своей предполагаемой целью, чтобы повысить свои шансы на успешный компрометацию в конечном итоге. Подобный взлом подчеркивает проблемы безопасности, с которыми могут столкнуться разработчики популярных проектов с открытым исходным кодом, в то время как государственные хакеры и киберпреступники нацеливаются на широко используемые проекты из-за их способности получать доступ, в некоторых случаях, к миллионам устройств по всему миру.
Джейсон Сэйман, который поддерживает популярный проект Axios, используемый разработчиками для подключения своих приложений к интернету, предоставил постмортем с хронологией взлома. Он сообщил, что хакеры начали свою кампанию по целенаправленной атаке примерно за две недели до того, как им удалось получить контроль над его компьютером для внедрения вредоносного кода.
Выдавая себя за реальную компанию, создавая реалистично выглядящее рабочее пространство в Slack и используя поддельные профили сотрудников для завоевания доверия, Сэйман сообщил, что предполагаемые северокорейские хакеры затем пригласили его на веб-встречу, которая побудила его загрузить вредоносное ПО, замаскированное под необходимое для доступа к звонку обновление. Сэйман отметил, что приманка имитировала технику, используемую северокорейскими хакерами, которая обманом заставляет потенциальных жертв предоставить хакерам удаленный доступ к их системе, часто для кражи их криптовалюты.
Эта атака, по словам Сэймана, имитировала более ранние взломы, связанные с Северной Кореей исследователями безопасности из Google.
После компрометации и получения удаленного доступа к компьютеру Сэймана хакеры выпустили вредоносные обновления для проекта Axios.
Два вредоносных пакета Axios, удаленные примерно через три часа после их первой публикации 31 марта, могли заразить тысячи систем за это время, хотя полный масштаб массового взлома пока не ясен. Любой компьютер, установивший вредоносную версию программного обеспечения в этот период, мог позволить хакерам украсть свои приватные ключи, учетные данные и пароли с этого компьютера, что может привести к дальнейшим утечкам.
Сэйман не сразу ответил на электронное письмо с вопросами об инциденте.
Северокорейские хакеры остаются одной из самых активных киберугроз в интернете на сегодняшний день, им приписывают кражу по меньшей мере 2 миллиардов долларов в криптовалюте только в 2025 году.
Режим Ким Чен Ына по-прежнему находится под международными санкциями и отстранен от глобальной финансовой сети за нарушение запрета на свою программу разработки ядерного оружия, которую страна в значительной степени финансирует путем кибератак и кражи криптовалюты.
Считается, что Северная Корея располагает тысячами высокоорганизованных хакеров — большинство из которых работают против своей воли под репрессивным режимом Кимов. Эти хакеры тратят недели или месяцы на проведение сложных атак с использованием социальной инженерии, направленных на завоевание доверия, а затем и доступа, чтобы украсть криптовалюту и данные для вымогательства у своих жертв.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Zack Whittaker