Es wird vermutet, dass ein groß angelegter Supply-Chain-Angriff auf die JavaScript-Bibliothek Axios von einem nordkoreanischen Bedrohungsakteur ausgeführt wird. Bei Axios, das jede Woche über 100 Millionen Mal heruntergeladen wird, wurde das Node-Paket-Manager-Konto kompromittiert, was die Einführung einer bösartigen Abhängigkeit namens plain-crypto-js ermöglichte.
Die kompromittierten Versionen der Abhängigkeit wurden innerhalb weniger Stunden entfernt. Die weit verbreitete Einführung von Axios gibt jedoch Anlass zur Sorge, dass viele Benutzer möglicherweise die vergiftete Version heruntergeladen haben. Forscher der Google Threat Intelligence Group (GTIG) identifizierten die bösartige Abhängigkeit als einen verschleierten Dropper, der eine Hintertür namens Waveshaper.v2 in Windows-, Linux- und Mac-Umgebungen installiert.
GTIG führt den Angriff auf eine Gruppe namens UNC1069 zurück, die seit mindestens 2018 aktiv ist. Waveshaper.v2 wird als neuere Version einer Backdoor gemeldet, die zuvor derselben Gruppe zugeordnet war. Darüber hinaus hat Sophos diesen Angriff mit einem in Nordkorea ansässigen Hacker namens Nickel Gladstone in Verbindung gebracht.
„Nordkoreanische Hacker verfügen über umfassende Erfahrung mit Angriffen auf die Lieferkette, die sie in der Vergangenheit zum Diebstahl von Kryptowährungen genutzt haben“, sagte John Hultquist, Chefanalyst bei GTIG. Er betonte das Potenzial für erhebliche Auswirkungen aufgrund der Beliebtheit des kompromittierten Pakets.
Austin Larsen, leitender Bedrohungsanalyst bei GTIG, warnte davor, dass jeder, der [email protected] oder [email protected] heruntergeladen hat, möglicherweise versehentlich eine Backdoor-Payload ausgeführt hat. Diese Warnung erfolgte in einem LinkedIn-Beitrag nach der ersten Entdeckung des Vorfalls.
Step Security, das den Angriff entdeckte, beschrieb ihn als geplante Kompromittierung. Die böswillige Abhängigkeit wurde 18 Stunden vor ihrer Bereitstellung an einem Montag inszeniert, wobei beide Release-Zweige von Axios innerhalb von 39 Minuten voneinander vergiftet wurden.
Der Angreifer hat zunächst das npm-Konto des Hauptbetreuers jasonsaayman kompromittiert und die registrierte E-Mail in eine vom Angreifer kontrollierte ProtonMail-Adresse geändert. Step Security enthüllte, dass die bösartigen Artefakte auf Selbstzerstörung eingestellt waren, was Bedenken hinsichtlich der Komplexität des Vorfalls aufkommen ließ.
Forscher bezeichneten diesen Angriff als einen der „operativ ausgefeiltesten Supply-Chain-Angriffe, die jemals dokumentiert wurden“ gegen ein führendes NPM-Paket. John Hammond von Huntress äußerte sich besorgt über mögliche nachgelagerte Auswirkungen auf verschiedene Organisationen, die auf Axios vertrauen.
„Die vollständigen Auswirkungen sind dynamisch und werden noch nicht entdeckt, da sich jedes Unternehmen, das Node.js oder JavaScript-Software verwendet, auf die kompromittierte Axios-Komponente verlassen könnte“, sagte Hammond.
Dieser Vorfall ist Teil eines aktuellen Trends von Angriffen auf die Lieferkette, zu denen auch Trivy gehört, ein Open-Source-Tool von Aqua Security, das ebenfalls von einem anderen Bedrohungsakteur namens TeamPCB kompromittiert wurde.
Charles Carmakal, CTO bei Mandiant Consulting, stellte fest, dass die jüngsten Angriffe auf die Lieferkette zu Tausenden von gestohlenen Zugangsdaten geführt haben, und warnte vor drohenden Bedrohungen wie weiteren SaaS-Kompromittierungen, Ransomware und Krypto-Raubüberfällen.
