针对 JavaScript 库 Axios 的重大供应链攻击疑似由朝鲜威胁行为者发起。 Axios 每周下载量超过 1 亿次,其节点包管理器帐户遭到泄露,导致引入名为 plain-crypto-js 的恶意依赖项。
依赖项的受损版本在几小时内就被删除了。然而,Axios 的广泛采用引发了人们的担忧,即许多用户可能下载了中毒版本。 Google 威胁情报组 (GTIG) 的研究人员将恶意依赖项识别为混淆的植入程序,该植入程序会在 Windows、Linux 和 Mac 环境上安装名为 Waveshaper.v2 的后门。
GTIG 将这次攻击归咎于一个名为 UNC1069 的组织,该组织至少自 2018 年以来一直在运作。 据报道,Waveshaper.v2 是先前与同一组织关联的后门的更新版本。此外,Sophos 还将此次攻击与朝鲜黑客 Nickel Gladstone 联系起来。
GTIG 首席分析师 John Hultquist 表示:“朝鲜黑客在供应链攻击方面拥有丰富的经验,他们历来利用这些攻击来窃取加密货币。”他强调,由于受感染的软件包很受欢迎,可能会产生重大影响。
GTIG 首席威胁分析师 Austin Larsen 警告称,下载 [email protected] 或 [email protected] 的任何人都可能无意中执行了后门有效负载。在最初发现该事件后,LinkedIn 的一篇帖子中发布了这一警告。
发现该攻击的 Step Security 将其描述为有计划的妥协。该恶意依赖项是在周一部署前 18 小时内上演的,Axios 的两个发布分支在 39 分钟内就互相中毒。
攻击者最初入侵了主要维护者 jasonsaayman 的 npm 帐户,将注册电子邮件更改为攻击者控制的 ProtonMail 地址。 Step Security 透露,这些恶意工件会自毁,引发了人们对事件复杂性的担忧。
研究人员将这次攻击描述为针对领先 npm 软件包的“有史以来最复杂的供应链攻击”之一。 Huntress 的 John Hammond 对依赖 Axios 的各个组织的潜在下游影响表示担忧。
Hammond 表示:“全部影响是动态的,并且仍在被发现,因为任何使用 Node.js 或 JavaScript 软件的组织都可能依赖受感染的 Axios 组件。”
此事件是最近供应链攻击趋势的一部分,其他目标包括来自 Aqua Security 的开源工具 Trivy,该工具也受到了名为 TeamPCB 的不同威胁参与者的攻击。
Mandiant Consulting 首席技术官 Charles Carmakal 指出,最近的供应链攻击已导致数千个凭证被盗,并警告即将发生的威胁,例如进一步的 SaaS 泄露、勒索软件和加密货币盗窃。
<小时/>
