axios ланцюг постачання міг бути скомпрометований хакерами з Північної Кореї, цілі спрямовані на корпоративні криптоактиви

Підрозділ кібербезпеки Mandiant, що належить Google, підтвердив, що ймовірна хакерська група з Північної Кореї відповідальна за подію з атакою на ланцюг постачання axios цього тижня у вівторок. Зловмисники зламали обліковий запис розробника, який керує відкритим програмним проєктом axios; у вікно приблизно трьох годин у вівторок вранці вони надсилали шкідливі оновлення всім організаціям, які завантажували це програмне забезпечення, з метою викрасти зашифровані корпоративні активи та використати їх для фінансування програм ядерної зброї та балістичних ракет Північної Кореї.

Деталі проведення атаки: точний удар по ланцюгу постачання за три години

Дії хакерів демонструють високоефективну природу атак на ланцюг постачання програмного забезпечення. Спочатку зловмисники отримали контроль над акаунтом розробника відкритого ПЗ axios, а відразу після цього, діючи легітимно, під виглядом офіційного оновлення розіслали версію з шкідливим кодом. У межах того трьохгодинного вікна будь-яка організація з автоматизованими системами під час виконання звичайних оновлень без відома встановлювала цю версію з бекдором.

Стратегічний керівник із загроз-розвідки компанії Wiz, що належить Google, Ben Read зазначив: «Північна Корея не хвилюється ні за свою репутацію, ні за те, що врешті-решт її ідентифікують, тож, хоча такі дії дуже привертають увагу, вони все одно готові платити таку ціну».

Дослідник безпеки Huntress John Hammond додав, що цей час «влучив ідеально», прямо вказавши на те, що організації масово використовують AI-агентів для розробки ПЗ, «без жодної перевірки чи обмежень», що робить уразливості ланцюга постачання легше системно експлуатувати.

Висновки розслідування: масштаб жертв і напрям майбутніх атак

Наразі розслідування розкриває багатовимірну загрозу:

Уражені пристрої: Huntress уже ідентифікувала близько 135 інфікованих пристроїв, які належать приблизно 12 компаніям; імовірно, це лише невелика частина реального масштабу ураження

Час оцінки: головний технічний директор Mandiant Charles Carmakal попереджає, що для повної оцінки впливу цієї атаки можуть знадобитися місяці

Наступний напрям атак: Mandiant очікує, що зловмисники використають викрадені облікові дані та права доступу до систем, щоб далі націлитися на зашифровані корпоративні активи й виконати їх викрадення

Уразливість ланцюга постачання: Hammond зазначив: «Надто багато людей перестали звертати увагу на склад програмного забезпечення, яким вони користуються; це створює величезну пролом у всьому ланцюгу постачання»

Історичний контекст: систематичне підвищення рівня цифрового викрадення Північної Кореї

Ця атака на axios є найновішим прикладом системного проникнення Пхеньяна в інфраструктуру ланцюга постачання програмного забезпечення. Три роки тому, ймовірні північнокорейські агенти проникли до іншого, широко популярного, постачальника програмного забезпечення для голосових і відеодзвінків; минулого року північнокорейські хакери в межах однієї атаки викрали криптовалюту на суму 1,5 млрд доларів США, встановивши історичний рекорд для справ криптохакерів на той час.

Звіти ООН та кількох приватних інституцій свідчать, що за минулі кілька років північнокорейські хакери вже викрали десятки мільярдів доларів США з банків і компаній, пов’язаних із криптовалютами. У 2023 році посадовці Білого дому розкрили, що приблизно половина коштів для програм північнокорейських ракет була отримана з такого роду цифрових крадіжок, що надає цій загрозі безпеки прямого міжнародного стратегічного значення.

Поширені запитання

Що таке axios і чому він став ціллю цієї атаки на ланцюг постачання?

axios — це широко використовуваний JavaScript npm базовий пакет (атакована версія — 1.14.1), який допомагає розробникам обробляти HTTP-запити для сайтів і застосовується тисячами медичних, фінансових та технологічних компаній. Його надзвичайно високі обсяги завантажень роблять його цінною ціллю для атак на ланцюг постачання: достатньо зламати акаунт розробника, щоб протягом кількох годин одночасно надсилати шкідливий код великій кількості нижчих за рівнем організацій.

Які конкретні ризики ця атака несе для криптовалютних компаній?

Оцінка Mandiant вказує, що зловмисники використають викрадені облікові дані для подальшого вторгнення в компанії, які зберігають зашифровані активи. Криптовалютні компанії та технологічні підприємства, що використовують заражену версію axios, могли не знаючи того надати зловмисникам бекдори для доступу до внутрішніх систем, через що приватні ключі гаманців, API-ключі та токени/криптографічні облікові дані для транзакцій можуть опинитися під загрозою викрадення.

Як компаніям оцінити та відреагувати на цю атаку на ланцюг постачання axios?

Рекомендується негайно виконати такі кроки: перевірити, чи версія axios у системі є атакованою; переглянути журнали оновлень у період, коли сталася атака (вікно у вівторок вранці тривалістю три години); просканувати на предмет наявності аномального доступу до облікових даних або дій із зовнішніми підключеннями; і звернутися до служб безпеки на кшталт Huntress, Mandiant тощо для професійної оцінки.