Axios-Lieferkette möglicherweise von nordkoreanischen Hackern ins Visier genommen; Ziel sind Unternehmens-Kryptowerte

Die zum Google-Konzern gehörende Internet-Sicherheitsbehörde Mandiant hat bestätigt, dass eine mutmaßliche Hackergruppe aus Nordkorea für den am Dienstag stattgefundenen axios-Softwarelieferkettenangriff verantwortlich ist. Die Angreifer drangen in das Entwicklerkonto ein, das die Open-Source-Software axios verwaltet, und schoben in einem etwa dreistündigen Zeitfenster am Dienstagvormittag bösartige Updates an alle Organisationen, die diese Software herunterladen, um Unternehmens-Kryptowerte zu stehlen und damit nordkoreanische Nuklear- und Raketensprogramme zu finanzieren.

Angriffsausführungsdetails: Präziser Supply-Chain-Schlag innerhalb von drei Stunden

Das Vorgehen der Hacker zeigt die hocheffiziente Natur von Softwarelieferkettenangriffen. Die Angreifer erlangten zunächst die Kontrolle über das Konto eines Entwicklers der Open-Source-Software axios und tarnten unmittelbar danach mit einer legitimen Identität eine Version mit bösartigem Code als offizielle Update-Zustellung. In diesem dreistündigen Zeitfenster würde jedes automatisierte System einer Organisation, wenn es ein routinemäßiges Update durchführt, diese Version mit Hintertür unwissentlich bereitstellen.

Der strategische Leiter für Bedrohungsinformationen bei der zum Google-Konzern gehörenden Firma Wiz, Ben Read, wies darauf hin: „Nordkorea sorgt sich nicht um den eigenen Ruf oder darum, am Ende identifiziert zu werden. Deshalb sind sie zwar bereit, die Kosten für solche Handlungen zu tragen, obwohl dieses Vorgehen sehr auffällig ist.“

Der Sicherheitsforscher John Hammond von Huntress sagte außerdem, der Zeitpunkt sei „genau richtig“; er stellt klar, dass viele Organisationen derzeit in großem Umfang KI-Agenten für die Softwareentwicklung einsetzen, „ohne jegliche Prüfung oder Einschränkung“, wodurch Schwachstellen in der Lieferkette leichter systematisch ausgenutzt werden können.

Ermittlungsbefunde: Schadensumfang und zukünftige Angriffsschwerpunkte

Derzeit zeigen die Ermittlungen eine Bedrohung in mehreren Dimensionen:

Betroffene Geräte: Huntress hat etwa 135 kompromittierte Geräte identifiziert, die ungefähr 12 Unternehmen zuzuordnen sind; vermutlich ist dies nur ein kleiner Teil des tatsächlichen Ausmaßes der Betroffenheit

Einschätzung der Zeit: Mandiant zufolge warnte der Chief Technology Officer Charles Carmakal, dass eine vollständige Bewertung der Auswirkungen dieses Angriffs möglicherweise mehrere Monate dauern könnte

Nächste Angriffsschritte: Mandiant geht davon aus, dass die Angreifer die gestohlenen Zugangsdaten und Systemzugriffsrechte nutzen werden, um die gestohlenen Unternehmens-Kryptowerte weiter gezielt zu stehlen

Anfälligkeit der Lieferkette: Hammond weist darauf hin: „Zu viele Menschen achten nicht mehr darauf, woraus die Software besteht, die sie verwenden. Das schafft eine enorme Schwachstelle für die gesamte Lieferkette“

Historischer Hintergrund: Systematische Aufrüstung digitaler Diebstähle aus Nordkorea

Der Angriff auf axios ist der neueste Fall einer systematischen Durchdringung der Softwarelieferketten-Infrastruktur durch Pjöngjang. Vor drei Jahren sollen mutmaßliche nordkoreanische Agenten in einen weiteren sehr beliebten Anbieter von Sprach- und Videosoftware eingedrungen sein; im vergangenen Jahr stahlen nordkoreanische Hacker bei einem einzelnen Angriff Kryptowährungen im Wert von 1,5 Milliarden US-Dollar und stellten damit damals einen historischen Rekord für Fälle auf, die mit Krypto-Hacking verbunden waren.

Berichte der Vereinten Nationen sowie mehrerer privater Einrichtungen zeigen, dass nordkoreanische Hacker in den vergangenen Jahren bereits Dutzende Milliarden US-Dollar aus Banken und Kryptounternehmen gestohlen haben. Im Jahr 2023 enthüllten Beamte im Weißen Haus, dass etwa die Hälfte der Finanzierung für nordkoreanische Raketenvorhaben aus dieser Art digitalem Diebstahl stammte, wodurch diese Sicherheitsbedrohung direkte internationale strategische Bedeutung erhält.

Häufige Fragen

Was ist axios und warum wurde es zum Ziel dieses Lieferkettenangriffs?

axios ist ein weit verbreitetes JavaScript-npm-Kernpaket (die angegriffene Version ist 1.14.1). Es hilft Entwicklern bei der Verarbeitung von HTTP-Anfragen für Websites und wird von Tausenden medizinischer, finanzieller und Technologieunternehmen genutzt. Durch seine extrem hohe Download-Zahl ist es ein besonders wertvolles Ziel für Angriffe in der Lieferkette: Wenn man ein Entwicklerkonto kompromittiert, kann man innerhalb weniger Stunden gleichzeitig bösartigen Code an eine große Anzahl nachgelagerter Organisationen ausliefern.

Welche konkreten Risiken bedeutet dieser Angriff für Krypto-Unternehmen?

Mandiants Bewertung zufolge werden die Angreifer die gestohlenen Zugangsdaten nutzen, um Unternehmen weiter zu infiltrieren, die Kryptowerte halten. Krypto- und Technologieunternehmen, die die infizierte Version von axios verwenden, könnten den Angreifern möglicherweise unwissentlich Hintertüren zum Zugriff auf interne Systeme bereitgestellt haben, wodurch das Risiko besteht, dass Wallet-Private-Keys, API-Keys und Transaktionsnachweise gestohlen werden.

Wie sollten Unternehmen diesen axios-Lieferkettenangriff bewerten und darauf reagieren?

Es wird empfohlen, die folgenden Schritte umgehend auszuführen: Prüfen, ob die Version von axios in den Systemen die angegriffene Version ist; die Software-Update-Protokolle für den Zeitpunkt des Angriffs (das dreistündige Zeitfenster am Dienstagvormittag) überprüfen; scannen, ob ein ungewöhnlicher Zugriff auf Zugangsdaten oder externes Verbindungsverhalten vorliegt; und außerdem Kontakt mit Sicherheitsorganisationen wie Huntress und Mandiant aufnehmen, um eine professionelle Bewertung durchführen zu lassen.