Η Google αναφέρει ότι μία ομάδα χάκερ που συνδέεται με το καθεστώς της Βορείου Κορέας υπέκλεψε και τροποποίησε ένα δημοφιλές εργαλείο ανάπτυξης λογισμικού ανοιχτού κώδικα, διανέμοντας κακόβουλο λογισμικό που θα μπορούσε να θέσει σε κίνδυνο εκατομμύρια προγραμματιστές.
Η ομάδα χάκερ με την επωνυμία «UNC1069» δημοσίευσε κακόβουλες εκδόσεις της ευρέως χρησιμοποιούμενης βιβλιοθήκης JavaScript Axios, την οποία οι προγραμματιστές χρησιμοποιούν για να επιτρέπουν στα προγράμματά τους να συνδέονται στο Διαδίκτυο. Η βιβλιοθήκη φιλοξενείται στο npm, ένα αποθετήριο λογισμικού για έργα ανοιχτού κώδικα. Το Axios κατεβαίνει δεκάδες εκατομμύρια φορές κάθε εβδομάδα.
Η παραβίαση εντοπίστηκε και σταμάτησε μέσα σε περίπου τρεις ώρες σύμφωνα με την εταιρεία ασφάλειας StepSecurity. Ωστόσο δεν είναι σαφές πόσοι χρήστες κατέβασαν τη μολυσμένη έκδοση στο χρονικό διάστημα που διήρκεσε η επίθεση. Η εταιρεία Aikido προειδοποίησε ότι όποιος κατέβασε τον κώδικα «θα πρέπει να θεωρεί ότι το σύστημά του έχει παραβιαστεί».
Οι χάκερ στοχεύουν όλο και περισσότερο δημοφιλή open-source έργα για να επιτεθούν μαζικά σε χρήστες. Αυτές οι επιθέσεις λέγονται supply chain attacks γιατί «μολύνουν» ένα εργαλείο και μετά επηρεάζουν όλους όσοι το χρησιμοποιούν. Στο παρελθόν έχουν στοχοποιηθεί εταιρείες και εργαλεία όπως τα SolarWinds, Kaseya, 3CX, Log4j, Polyfill.io
Η επίθεση
Ο αναλυτής Τζον Χουλτκουίστ αναφέρει ότι η ομάδα UNC1069 έχει μεγάλη εμπειρία σε τέτοιες επιθέσεις και συνήθως στοχεύει σε κλοπή κρυπτονομισμάτων. Η ομάδα κατάφερε να αποκτήσει πρόσβαση στον λογαριασμό ενός βασικού developer του Axios και αντικατέστησε το email του με δικό του δυσκολεύοντας την ανάκτηση του λογαριασμού
Αφού απέκτησε πρόσβαση η ομάδα εισήγαγε εισήγαγε ένα κακόβουλο πρόγραμμα τύπου Δούρειου Ίππου. Ένα πρόγραμμα δηλαδή που προσφέρει πλήρη απομακρυσμένο έλεγχο του υπολογιστή και επιτρέπει κατασκοπεία ή περαιτέρω επιθέσεις. Στη συνέχεια η ομάδα δημοσίευσε «νόμιμες» ενημερώσεις για τα πιο δημοφιλή λειτουργικά προγράμματα όπως τα Windows, macOS και Linux.
Οι επιτιθέμενοι σχεδίασαν το κακόβουλο πρόγραμμα ώστε να διαγράφεται μόνο του μετά την εγκατάσταση
για να μην εντοπίζεται εύκολα από συστήματα antivirus και ερευνητές. Πρόκειται για μια πολύ επικίνδυνη αλλά σύντομη επίθεση που δείχνει πόσο ευάλωτο είναι το οικοσύστημα ανοιχτού κώδικα και πόσο εύκολα μπορεί να επηρεαστούν εκατομμύρια χρήστες ταυτόχρονα.
