Хакери искористиле лажен Teams проблем за да ја преземат сметката на Axios одржувач

Одржувачите на популарниот Axios HTTP клиент објавија детален извештај (post-mortem) во кој опишуваат како еден од нивните развивачи бил мета на социјален инженеринг поврзан со севернокорејски хакери.

Ова следи откако напаѓачите компромитирале сметка на одржувач и објавиле две малициозни верзии на Axios (1.14.1 и 0.30.4) во npm регистарот, предизвикувајќи supply chain напад.

Овие верзии вметнале зависност наречена „plain-crypto-js“, која инсталирала remote access trojan (RAT) на macOS, Windows и Linux системи.

Малициозните верзии биле достапни околу три часа пред да бидат отстранети, но сите системи што ги инсталирале во тој период треба да се сметаат за компромитирани, а сите креденцијали и автентикациски клучеви треба да се променат.

Одржувачите на Axios соопштија дека ги исчистиле погодените системи, ги ресетирале сите креденцијали и воведуваат мерки за спречување на слични инциденти во иднина.

Google Threat Intelligence Group го поврза овој напад со севернокорејска група позната како UNC1069.

„GTIG ја припишува оваа активност на UNC1069, финансиски мотивиран актер поврзан со Северна Кореја, активен најмалку од 2018 година, врз основа на употребата на WAVESHAPER.V2 — ажурирана верзија на WAVESHAPER која претходно ја користела оваа група“, објаснува Google.

„Понатамошната анализа на инфраструктурата користена во овој напад покажува преклопувања со инфраструктура што UNC1069 ја користела во претходни активности.“

Мета на таргетиран напад со социјален инженеринг

Според објавениот post-mortem, компромитацијата започнала неколку недели претходно преку таргетиран напад со социјален инженеринг врз главниот одржувач на проектот, Џејсон Сајман.

Напаѓачите се претставиле како легитимна компанија, ја копирале нејзината брендинг-идентичност и изгледот на основачите, и го поканиле одржувачот во Slack работен простор дизајниран да ја имитира компанијата. Сајман изјави дека Slack серверот содржел реалистични канали, со лажна активност и профили што се претставувале како вработени и други open-source одржувачи.

„Потоа ме поканија во вистински Slack workspace. Тој workspace беше брендиран според CI системот на компанијата и имаше убедливо име“, објасни Сајман.

„Slack-от беше многу добро осмислен — имаа канали каде што споделуваа LinkedIn објави (кои најверојатно водеа до вистинската компанија), и сè изгледаше многу убедливо. Дури имаа и лажни профили од тимот и други OSS одржувачи.“

Потоа напаѓачите закажале состанок на Microsoft Teams, кој изгледал како да вклучува повеќе учесници.

За време на повикот се појавила техничка грешка, која тврдеше дека нешто во системот е застарено и го поттикнала одржувачот да инсталира ажурирање за Teams. Но, ова „ажурирање“ всушност било малициозен RAT софтвер што им овозможил на напаѓачите далечински пристап до уредот и пристап до npm креденцијалите за Axios.

Други одржувачи пријавиле слични напади, каде што биле убедувани да инсталираат лажен Microsoft Teams SDK update.

Овој напад е сличен на т.н. ClickFix напади, каде жртвите гледаат лажна грешка и се наведуваат да следат чекори што всушност инсталираат malware.

Исто така, нападот потсетува на претходни кампањи поврзани со групата UNC1069, каде севернокорејски актери користеле слични техники за таргетирање крипто-компании.

Во претходни кампањи, овие напаѓачи инсталирале дополнителни payload-и како backdoor-и, downloader-и и алатки за кражба на податоци (infostealers), со цел да украдат креденцијали, податоци од прелистувачи, сесиски токени и други чувствителни информации.

Бидејќи напаѓачите добиле пристап до веќе автентицирани сесии, MFA заштитата била практично заобиколена, овозможувајќи пристап без повторна автентикација.

Одржувачите на Axios потврдија дека изворниот код на проектот не бил изменет, туку нападот се базирал на вметнување малициозна зависност во инаку легитимни верзии.

Пеле Весман, одржувач на повеќе open-source проекти (вклучувајќи го и Mocha), изјави дека и тој бил мета на истата кампања. Тој сподели screenshot од лажна RTC грешка што се користела за да ги измами жртвите да инсталираат malware.

Кога Весман одбил да ја инсталира апликацијата, напаѓачите се обиделе да го убедат да изврши curl команда што би презела и извршила малициозен код. Кога и тоа не успеало, тие ја прекинале комуникацијата и ги избришале разговорите.

Компанијата за сајбер-безбедност Socket потврди дека станува збор за координирана кампања насочена кон одржувачи на популарни Node.js проекти.

Повеќе развивачи, вклучувајќи одржувачи на широко користени пакети и core придонесувачи во Node.js, пријавиле дека добиле слични покани за Slack работни простори управувани од напаѓачите.

Според Socket, овие одржувачи се одговорни за пакети со милијарди неделни преземања, што покажува дека нападот бил насочен кон проекти со големо влијание.

„Откако ја објавивме анализата за компромитацијата на Axios, многу одржувачи се јавија и потврдија дека биле таргетирани со истата кампања,“ наведува Socket.

„Станува збор за координиран и скалабилен модел на напад насочен кон високо доверливи open-source одржувачи.“

Кампањата следела конзистентен шаблон: контакт преку LinkedIn или Slack, градење доверба, покана во приватни работни простори, и потоа видео повици преку лажни платформи што имитираат Microsoft Teams.

За време на тие повици се прикажувала грешка што ги наведувала жртвите да инсталираат „потребен“ софтвер или да извршат команди.

Истата тактика користена врз повеќе цели во ист период укажува дека станува збор за организирана кампања, а не изолирани напади.

Истражувачите од Socket предупредуваат дека ваквите supply chain напади стануваат сè почести, при што напаѓачите се фокусираат на широко користени пакети за да постигнат масовно влијание.

Извори:

• Bleeping Computer – Axios npm hack used fake Teams error fix to hijack maintainer account Bleeping Computer