Suuren toimitusketjuhyökkäyksen JavaScript-kirjastoa Axios vastaan epäillään pohjoiskorealaisen uhkatekijän suorittaneen. Axiosin, joka ladataan yli 100 miljoonaa kertaa viikossa, solmupakettien hallintatili vaarantui, mikä mahdollisti haitallisen riippuvuuden, nimeltä plain-crypto-js, käyttöönoton.
Riippuvuuden vaarantuneet versiot poistettiin muutamassa tunnissa. Axiosin laaja käyttöönotto herättää kuitenkin huolta siitä, että monet käyttäjät ovat saattaneet ladata myrkytetyn version. Google Threat Intelligence Groupin (GTIG) tutkijat tunnistivat haitallisen riippuvuuden hämäräksi dropperiksi, joka asentaa Waveshaper.v2-nimisen takaoven Windows-, Linux- ja Mac-ympäristöihin.
GTIG lukee hyökkäyksen UNC1069-nimellä tunnetun ryhmän syyksi, joka on ollut toiminnassa ainakin vuodesta 2018. Waveshaper.v2 on raportoitu uudemmaksi versioksi takaovesta, joka on aiemmin liitetty samaan ryhmään. Lisäksi Sophos on yhdistänyt tämän hyökkäyksen pohjoiskorealaiseen hakkeriin, joka tunnetaan nimellä Nickel Gladstone.
”Pohjoiskorealaisilla hakkereilla on syvä kokemus toimitusketjuhyökkäyksistä, joita he ovat historiallisesti käyttäneet kryptovaluuttojen varastamiseen”, sanoi GTIG:n pääanalyytikko John Hultquist. Hän korosti mahdollisia merkittäviä seurauksia, jotka johtuvat vaarantuneen paketin suosiosta.
Austin Larsen, GTIG:n tärkein uhka-analyytikko, varoitti, että jokainen, joka latasi [email protected] tai [email protected], on saattanut vahingossa suorittaa takaoven hyötykuorman. Tämä varoitus tuli LinkedIn-viestissä tapauksen ensimmäisen havaitsemisen jälkeen.
Hyökkäyksen havainnut Step Security kuvaili sitä suunniteltuna kompromissina. Haitallinen riippuvuus lavastettiin 18 tuntia ennen sen käyttöönottoa maanantaina, ja molemmat Axiosin julkaisuhaarat myrkytettiin 39 minuutin sisällä toisistaan.
Hyökkääjä vaaransi alun perin ensisijaisen ylläpitäjän jasonsaaymanin npm-tilin ja muutti rekisteröidyn sähköpostin hyökkääjän hallitsemaan ProtonMail-osoitteeseen. Step Security paljasti, että haitalliset esineet tuhoutuivat itsestään, mikä herätti huolta tapahtuman kehittyneisyydestä.
Tutkijat luonnehtivat tätä hyökkäystä yhdeksi ”operatiivisesti kehittyneimmistä toimitusketjuhyökkäyksistä, jotka on koskaan dokumentoitu” johtavaa npm-pakettia vastaan. John Hammond Huntressista ilmaisi huolensa mahdollisista loppupään vaikutuksista useisiin Axiosiin tukeutuviin organisaatioihin.
”Täydet vaikutukset ovat dynaamisia ja niitä ei vielä paljasteta, koska mikä tahansa Node.js- tai JavaScript-ohjelmistoa käyttävä organisaatio voi luottaa vaarantuneeseen Axios-komponenttiin”, Hammond sanoi.
Tämä tapaus on osa viimeaikaista toimitusketjuhyökkäysten trendiä, ja muita kohteita ovat muun muassa Trivy, Aqua Securityn avoimen lähdekoodin työkalu, jonka myös erilainen uhkatoimija nimeltä TeamPCB vaaransi.
Charles Carmakal, Mandiant Consultingin tekninen johtaja, huomautti, että viimeaikaiset toimitusketjuhyökkäykset ovat johtaneet tuhansiin varastettuihin valtuustietoihin, mikä on varoittanut uhkaavista uhista, kuten SaaS:n uusista kompromisseista, kiristysohjelmista ja kryptoryöstöistä.
