Se sospecha que un actor de amenazas norcoreano está detrás de un importante ataque a la cadena de suministro contra axios, una biblioteca de JavaScript que se descarga más de 100 millones de veces por semana, según investigadores de seguridad.
A principios de esta semana, un atacante comprometió la cuenta del administrador de paquetes de nodos de un mantenedor de axios e introdujo una dependencia maliciosa Plain-crypto-js. Las versiones maliciosas se eliminaron en unas pocas horas, pero, con el uso generalizado de axios, existía el riesgo de que una gran cantidad de usuarios hubieran descargado la versión envenenada.
Investigadores de Grupo de inteligencia sobre amenazas de Google dijo que la dependencia maliciosa es un gotero ofuscado que implementa una puerta trasera llamada Waveshaper.v2 en entornos Windows, Linux y Mac.
Los investigadores de GTIG rastrean al atacante con el nombre UNC1069, un adversario que ha estado activo desde al menos 2018. La nueva puerta trasera es una versión actualizada de Waveshaper, que anteriormente se vinculó al mismo atacante, según los investigadores de GTIG.
Los investigadores de Sophos vinculan el ataque con un atacante radicado en Corea del Norte al que rastrean con el nombre de Nickel Gladstone.
«Los piratas informáticos norcoreanos tienen una amplia experiencia en ataques a la cadena de suministro, que históricamente han utilizado para robar criptomonedas», dijo John Hultquist, analista jefe de GTIG. «Aún no está claro el alcance total de este incidente, pero, dada la popularidad de este paquete comprometido, esperamos que tenga impactos de gran alcance».
Austin Larsen, analista principal de amenazas de GTIG, advierte que cualquiera que haya retirado [email protected] o [email protected] podría haber ejecutado sin saberlo una carga útil de puerta trasera utilizando la dependencia maliciosa, según una publicación en LinkedIn.
Los investigadores de Step Security, que inicialmente detectaron el incidente, dijeron que el ataque fue un compromiso deliberado y planificado, en el que la dependencia maliciosa se organizó con 18 horas de anticipación, y la actividad de la amenaza comenzó el lunes.
«Estas cargas útiles fueron prediseñadas para tres sistemas operativos», investigadores de Step Security dijo en una publicación de blog lanzado el martes. «Ambas ramas de liberación fueron envenenadas con 39 minutos de diferencia entre sí».
El atacante inicialmente comprometió la cuenta npm de jasonsaayman, que es el mantenedor principal, según Step Security. Luego, el correo electrónico registrado se cambió a una dirección de protones controlada por el actor de la amenaza.
Step Security notó que los artefactos estaban configurados para autodestruirse. Los investigadores llamaron a este uno de los “ataques a la cadena de suministro más sofisticados desde el punto de vista operativo jamás documentados” contra un paquete líder de npm.
John Hammond, investigador principal de seguridad de Huntress, advierte que puede haber efectos posteriores en las organizaciones que deben investigarse a fondo.
«Desafortunadamente, todos los efectos son dinámicos y aún se están descubriendo. Porque cualquier tipo de organización, que utilice cualquier tipo de software basado en Node.js o JavaScript, con cualquier tipo de paquetes, aún podría depender de ese componente de software subyacente de axios», dijo Hammond a Cybersecurity Dive.
El compromiso de Axios marcó el último de una serie de ataques a la cadena de suministro en las últimas semanas. Trivy, un herramienta de código abierto de Aqua Securityfue objetivo de un ataque vinculado a un actor de amenazas llamado TeamPCB, según los investigadores.
Charles Carmakal, CTO de Mandiant Consulting, dijo que hay miles de credenciales robadas disponibles debido a una serie de ataques a la cadena de suministro en las últimas semanas. según una publicación de LinkedIn. Advierte que, como resultado, podría haber más compromisos de SaaS, ransomware, robos de criptomonedas y otras actividades maliciosas.
Fuente