Кибератака из Северной Кореи на популярный проект с открытым кодом
Хакеры долгое время формировали доверие, чтобы внедрить вредоносный код
Кибератака из Северной Кореи, которая на прошлой неделе на короткое время скомпрометировала один из самых популярных проектов с открытым исходным кодом, была подготовлена в течение нескольких недель в рамках длительной кампании. Её целью были ведущие разработчики этого кода.
Согласно информации, инцидент с проектом Axios, произошедший 31 марта, частично достиг успеха благодаря тому, что хакеры постепенно завоевывали доверие своей цели. Разработка доверительных отношений с объектом атаки позволила повысить вероятность успешного проникновения. Этот случай подчеркивает проблемы безопасности, с которыми сталкиваются разработчики популярных проектов с открытым исходным кодом. В условиях, когда правительственные хакеры и киберпреступники нацелены на широко используемые проекты, которые дают доступ в миллионы устройств по всему миру.
Джейсон Сэйман, поддерживающий проект Axios, который разработчики используют для подключения своих приложений к интернету, сообщил о деталях атаки и её временных рамках. По его словам, хакеры начали свою кампанию примерно за две недели до того, как им удалось получить контроль над его компьютером и распространить вредоносный код.
Выдавая себя за реальную компанию, создавая реалистично выглядящее рабочее пространство в Slack и используя поддельные профили сотрудников, подозреваемые северокорейские хакеры пригласили Сэймана на веб-встречу, где его попросили загрузить вредоносное ПО под видом обновления. Эта уловка, как объяснил Сэйман, имитировала технику, ранее использованную северокорейскими хакерами для получения удалённого доступа к системе жертвы, часто с целью кражи криптовалюты.
После получения доступа к компьютеру Сэймана хакеры выпустили вредоносные обновления для проекта Axios. Две вредоносные сборки Axios, снятые через три часа после их первоначальной публикации, могли заразить тысячи систем за это время. Любой компьютер, установивший вредоносную версию программного обеспечения, мог подвергнуться краже личных данных, таких как ключи, учётные данные и пароли, что может привести к дальнейшим нарушениям безопасности.
Сэйман не ответил на запросы о комментариях относительно инцидента. Северокорейские хакеры остаются одной из самых активных интернет-угроз, обвиняемых в краже как минимум $2 млрд в криптовалюте только в 2025 году.
Режим Ким Чен Ына находится под международными санкциями и не имеет доступа к глобальной финансовой сети из-за нарушения запрета на разработку ядерного оружия. Это способствует активным кибератакам и кражам криптовалют. Считается, что Северная Корея имеет тысячи хорошо организованных хакеров, большинство из которых действует под принуждением репрессивного режима Ким Чен Ына. Эти хакеры тратят недели или месяцы на проведение комплексных атак социального инжиниринга, чтобы завоевать доверие и получить доступ для кражи криптовалюты и данных.
