Хакери зламали інструмент розробки програмного забезпечення з відкритим кодом, щоб розповсюдити шкідливе програмне забезпечення. Мільйони розробників під загрозою. Про це пише TechCrunch.

Google повідомив TechCrunch, що його дослідники з безпеки пов'язують компрометацію Axios з північнокорейськими хакерами.

«Ми приписали атаку підозрюваному північнокорейському хакеру, якого ми відстежуємо як UNC1069. Північнокорейські хакери мають великий досвід атак на ланцюги постачання, які вони історично використовували для крадіжки криптовалюти. Повний масштаб цього інциденту досі незрозумілий, але враховуючи популярність скомпрометованого пакета, ми очікуємо, що він матиме далекосяжні наслідки», — сказав Джон Халтквіст, головний аналітик групи розвідки загроз Google.

30 березня хакер розмістив шкідливі версії широко використовуваної бібліотеки JavaScript під назвою Axios. Axios завантажується десятки мільйонів разів щотижня. Її використовують у різних секторах — від охорони здоров’я до фінансів — та серед криптовалютних і технологічних компаній.

За даними компанії StepSecurity, яка проаналізувала атаку, викрадання було виявлено та зупинено приблизно за три години в ніч з понеділка на вівторок.

Хакер зміг впровадити шкідливий код в Axios, скомпрометувавши обліковий запис одного з основних розробників проєкту. Хакер замінив електронну адресу розробника в обліковому записі на свою власну, що ускладнило відновлення доступу.

Отримавши контроль над обліковим записом, хакер вставив шкідливе програмне забезпечення, яке може надати хакерам повний віддалений контроль над комп’ютером жертви. Потім хакер розповсюдив нові версії Axios у вигляді оновлення для користувачів Windows, macOS та Linux.

Наразі незрозуміло, скільки людей завантажило шкідливу версію Axios протягом цього періоду. Компанія з безпеки Aikido, яка також розслідувала інцидент, заявила, що кожен, хто завантажив код, «повинен вважати, що його система скомпрометована».

За даними Huntress, близько 135 пристроїв були зламані та належали приблизно 12 компаніям. Проте це лише незначна частина постраждалих. «Ймовірно, знадобиться кілька місяців, аби оцінити подальший вплив цієї кампанії», — сказав дослідник Huntress Джон Геммонд.

Як зауважили в DOU.ua, простого видалення зараженого пакета не буде достатньо. Якщо шкідливий скрипт встиг виконатися, варто вважати всі локальні ключі, сертифікати та доступи скомпрометованими, відкликати їх та перевипустити. Фахівці радять тим, хто використовує Axios, перевірити свої проєкти. Потрібно шукати у своїх залежностях та lock-файлах: axios@1.14.1, axios@0.30.4, plain-crypto-js@4.2.1.

Нагадаємо, нещодавно Державний департамент США оголосив винагороду в розмірі до 10 мільйонів доларів за інформацію про осіб, причетних до зламу пошти директора ФБР Каша Пателя. Раніше відповідальність за крадіжку листування американського посадовця взяло на себе іранське угруповання Handala Hack Team.

Фото: Shutterstock