Επίθεση στον Κώδικα της Αλυσίδας Εφοδιασμού: Ο Κίνδυνος για την Βιβλιοθήκη Axios
Μια πρόσφατη επίθεση αλυσίδας εφοδιασμού που αξιοποιεί τη δημοφιλή βιβλιοθήκη Axios, η οποία απολαμβάνει περισσότερες από 100 εκατομμύρια λήψεις κάθε εβδομάδα, έχει προκαλέσει έντονη ανησυχία για την ασφάλεια στον κόσμο της ανάπτυξης λογισμικού. Σύμφωνα με ερευνητές ασφαλείας, η επίθεση αυτή προσδιορίζεται ως ένα έργο Βορειοκορεατών χάκερ.
Τι Συνέβη; Η Επίθεση Ανιχνεύεται
Σύμφωνα με αναφορές, ο λογαριασμός npm ενός συντηρητή του Axios παραβιάστηκε, οδηγώντας στην εισαγωγή μιας κακόβουλης εξάρτησης, με την ονομασία plain-crypto-js. Παρά το γεγονός ότι οι κακόβουλες εκδόσεις του κώδικα αφαιρέθηκαν λίγες ώρες μετά την ανίχνευση, πολλοί χρήστες ενδέχεται να έχουν ήδη κατεβάσει τη μολυσμένη έκδοση, εκθέτοντας τα συστήματά τους.
Η Σημασία της Ανίχνευσης από την Google Threat Intelligence Group
Η ομάδα Google Threat Intelligence Group (GTIG) χαρακτηριστικά αναγνώρισε την κακόβουλη αυτή εξάρτηση ως ένα συγκεχυμένο σταγονόμετρο. Αυτό εγκαθιστά μια κερκόπορτα που ονομάζεται Waveshaper.v2 σε συστήματα Windows, Linux και Mac. Ο εισβολέας, γνωστός ως UNC1069, ενεργεί τουλάχιστον από το 2018, με το νέο backdoor να είναι μια εκσυγχρονισμένη παραλλαγή προηγουμένων επιθέσεων.
Σχέσεις Μεταξύ Επιθέσεων και Χάκερ
Οι ερευνητές της Sophos έχουν συσχετίσει αυτήν την κυβερνοεπίθεση με την ομάδα χάκερ Nickel Gladstone, οι οποίοι έχουν αποδείξει την ικανότητά τους να εκτελούν επιθέσεις εφοδιαστικής αλυσίδας, ιστορικά διεκδικώντας κρυπτονομίσματα. Ο John Hultquist, αναλυτής της GTIG, δήλωσε ότι οι συνέπειες της συγκεκριμένης επίθεσης παραμένουν αδιευκρίνιστες, αλλά δεν αποκλείεται να προκαλέσουν σημαντική ζημιά.
Κίνδυνοι για τους Χρήστες του Axios
Ο Austin Larsen, κύριος αναλυτής απειλών στο GTIG, προειδοποίησε ότι οι χρήστες που έχουν κατεβάσει τις εκδόσεις 1.14.1 και 1.30.4 του Axios ενδέχεται να παρακολουθούν ή να επηρεάζονται από μια backdoor που σχετίζεται με την κακόβουλη αυτή εξάρτηση. Η αρχική δραστηριότητα της επίθεσης διαπιστώθηκε 18 ώρες πριν από την ανάπτυξή της.
Πληροφορίες για την Επίθεση
- Η επίθεση προγραμματίστηκε ώστε να δημιουργήσει backdoors σε τρία λειτουργικά συστήματα.
- Η παραβίαση του λογαριασμού npm του συντηρητή jasonsaayman επέτρεψε στους χάκερ να αλλάξουν το καταχωρημένο email σε ένα που ελέγχεται από εκείνους.
- Τα κακόβουλα ωφέλιμα φορτία σχεδιάστηκαν έτσι ώστε να αυτοκαταστρέφονται μετά την εκτέλεσή τους, καθιστώντας πιο δύσκολη την ανίχνευσή τους.
Αντίκτυποι στον Τομέα της Ασφάλειας
Ερευνητικές ομάδες χαρακτήρισαν την εν λόγω επίθεση ως μία από τις πιο εξελιγμένες επιθέσεις στην αλυσίδα εφοδιασμού που έχουν καταγραφεί ποτέ εναντίον ενός σημαντικού πακέτου npm. Ο John Hammond, ανώτερος ανάλυτής ασφάλειας στο Huntress, ανέφερε ότι οι συνέπειες της επίθεσης είναι ακόμα σε πορεία αποκάλυψης και αναμένονται ευρείες επιπτώσεις για οργανισμούς που χρησιμοποιούν το λογισμικό Node.js ή JavaScript.
Μια Τάση Ανδροφοβίας στην Αλυσίδα Εφοδιασμού
Ο συμβιβασμός του Axios εντάσσεται σε μια ανησυχητική τάση επιθέσεων στην αλυσίδα εφοδιασμού. Ένα άλλο πρόσφατο περιστατικό που αφορά το Trivy, ένα εργαλείο ανοιχτού κώδικα από την Aqua Security, σχετίζεται με έναν παράγοντα απειλής που αναγνωρίζεται ως TeamPCB. Ο Charles Carmakal, CTO στη Mandiant Consulting, αποκάλυψε ότι χιλιάδες κλεμμένα διαπιστευτήρια έκαναν την εμφάνισή τους ως αποτέλεσμα αυτών των πρόσφατων παραβιάσεων, ενισχύοντας την ανησυχία για μελλοντικές επιθέσεις ransomware και κλοπές κρυπτονομισμάτων.