Si sospetta che un grave attacco alla catena di fornitura contro la libreria JavaScript Axios sia stato effettuato da un hacker nordcoreano. Axios, che viene scaricato oltre 100 milioni di volte ogni settimana, ha avuto il suo account di gestione dei pacchetti del nodo compromesso, consentendo l’introduzione di una dipendenza dannosa denominata plain-crypto-js.
Le versioni compromesse della dipendenza sono state rimosse nel giro di poche ore. Tuttavia, l’ampia adozione di Axios solleva preoccupazioni sul fatto che molti utenti possano aver scaricato la versione avvelenata. I ricercatori del Google Threat Intelligence Group (GTIG) hanno identificato la dipendenza dannosa come un dropper offuscato che installa una backdoor chiamata Waveshaper.v2 su ambienti Windows, Linux e Mac.
GTIG attribuisce l’attacco a un gruppo noto come UNC1069, operativo almeno dal 2018. Waveshaper.v2 viene segnalato come una versione più recente di una backdoor precedentemente associata allo stesso gruppo. Inoltre, Sophos ha collegato questo attacco a un hacker nordcoreano noto come Nickel Gladstone.
“Gli hacker nordcoreani hanno una profonda esperienza con gli attacchi alla catena di fornitura, che storicamente hanno utilizzato per rubare criptovaluta”, ha affermato John Hultquist, capo analista di GTIG. Ha sottolineato il potenziale di ripercussioni significative dovute alla popolarità del pacchetto compromesso.
Austin Larsen, principale analista delle minacce presso GTIG, ha avvertito che chiunque abbia scaricato [email protected] o [email protected] potrebbe aver inavvertitamente eseguito un payload backdoor. Questo avviso è arrivato in un post di LinkedIn dopo il rilevamento iniziale dell’incidente.
Step Security, che ha scoperto l’attacco, lo ha descritto come un compromesso pianificato. La dipendenza dannosa è stata organizzata 18 ore prima della sua implementazione di lunedì, con entrambi i rami di rilascio di Axios avvelenati entro 39 minuti l’uno dall’altro.
L’aggressore ha inizialmente compromesso l’account npm del manutentore principale jasonsaayman, alterando l’e-mail registrata in un indirizzo ProtonMail controllato dall’aggressore. Step Security ha rivelato che gli artefatti dannosi erano destinati ad autodistruggersi, sollevando preoccupazioni sulla sofisticatezza dell’incidente.
I ricercatori hanno definito questo attacco come uno degli “attacchi alla catena di fornitura più sofisticati dal punto di vista operativo mai documentati” contro un importante pacchetto npm. John Hammond di Huntress ha espresso preoccupazione per i potenziali effetti a valle su varie organizzazioni che fanno affidamento su Axios.
“Gli effetti completi sono dinamici e ancora da scoprire, poiché qualsiasi organizzazione che utilizza Node.js o il software JavaScript potrebbe fare affidamento sul componente Axios compromesso”, ha affermato Hammond.
Questo incidente fa parte di una recente tendenza di attacchi alla catena di fornitura, con altri obiettivi tra cui Trivy, uno strumento open source di Aqua Security, anch’esso compromesso da un altro attore di minacce chiamato TeamPCB.
Charles Carmakal, CTO di Mandiant Consulting, ha osservato che i recenti attacchi alla catena di fornitura hanno provocato il furto di migliaia di credenziali, avvertendo di minacce imminenti come ulteriori compromissioni SaaS, ransomware e rapine di criptovalute.
