Компания Mandiant, подразделение кибербезопасности компании Google, подтвердила, что предполагаемая северокорейская хакерская группировка ответственна за инцидент с атакой по цепочке поставок axios, произошедший в прошлый вторник. Злоумышленники взломали учетную запись разработчика, управляющего открытым исходным кодом axios, и в течение примерно трехчасового окна во вторник утром рассылали всем организациям, которые скачивали это ПО, вредоносные обновления; цель — похищать корпоративные зашифрованные активы для финансирования северокорейских ядерных программ и программ по ракетам.
Детали проведения атаки: точечный удар по цепочке поставок за три часа
Действия хакеров демонстрируют высокоэффективные характеристики атак на цепочки поставок. Злоумышленники сначала получили контроль над учетной записью разработчика открытого исходного кода axios, а затем, используя легитимный статус, выдали версию с вредоносным кодом за официально распространяемое обновление. В течение того трехчасового окна любые автоматизированные системы любой организации при выполнении обычных обновлений без уведомления развертывали эту версию с бэкдором.
Стратегический директор по угрозам компании Wiz, входящей в Google, Бен Рид отметил: «Северная Корея не беспокоится ни о своей репутации, ни о том, что ее в итоге распознают, поэтому, несмотря на то что такие действия очень заметны, они все равно готовы заплатить такую цену».
Исследователь безопасности Huntress Джон Хаммонд также назвал подход к выбору времени «в самую точку», прямо указывая, что организации в большом масштабе используют AI-агентов для разработки ПО: «без какого-либо надзора и ограничений», из-за чего уязвимости цепочки поставок становятся проще для систематического использования.
Результаты расследования: масштаб пострадавших и дальнейшие направления атак
На данный момент расследование выявило многоуровневую угрозу:
Пострадавшие устройства: Huntress уже идентифицировала около 135 взломанных устройств, относящихся примерно к 12 компаниям; по оценкам, это лишь небольшая часть реального масштаба ущерба
Оценка времени: главный технический директор Mandiant Чарльз Кармакал предупреждает, что для полноценной оценки влияния этой атаки может потребоваться несколько месяцев
Следующее направление атак: Mandiant ожидает, что злоумышленники будут использовать украденные учетные данные и права доступа к системам, чтобы далее прицельно нацеливаться на корпоративные зашифрованные активы и осуществлять кражу
Уязвимости цепочки поставок: Хаммонд указывает, что «слишком многие перестали обращать внимание на состав ПО, которое они используют, — это создает огромную брешь во всей цепочке поставок»
Исторический контекст: системное обновление цифрового воровства Северной Кореи
Эта атака на axios является последним примером системного проникновения Пхеньяна в цепочку поставок программного обеспечения. Три года назад, как предполагается, северокорейские агенты проникли в другого широко распространенного поставщика программного обеспечения для голосового и видеосвязи; в прошлом году северокорейские хакеры в ходе одной атаки похитили криптовалюту на сумму 1,5 млрд долларов, установив тогда исторический рекорд для кейсов криптохищений.
Отчеты Организации Объединенных Наций и нескольких частных организаций показывают, что в течение последних лет северокорейские хакеры похитили десятки миллиардов долларов у банков и компаний, работающих с криптовалютами. В 2023 году сотрудники администрации Белого дома раскрыли, что примерно половина финансирования ракетных программ Северной Кореи поступала из подобных цифровых краж, что придает этой угрозе прямое международное стратегическое значение.
Часто задаваемые вопросы
Что такое axios и почему он стал целью этой атаки по цепочке поставок?
axios — это широко используемый JavaScript npm-пакет ядра (атакованная версия — 1.14.1), который помогает разработчикам обрабатывать HTTP-запросы веб-сайтов; его используют тысячи медицинских, финансовых и технологических компаний. Его очень высокий объем загрузок делает его ценной целью для атак по цепочке поставок: взлом учетной записи разработчика позволяет в течение нескольких часов одновременно рассылать вредоносный код большому числу организаций-получателей.
Какие конкретные риски это означает для компаний, работающих с криптовалютами?
Оценка Mandiant указывает, что злоумышленники будут использовать украденные учетные данные для дальнейшего проникновения в компании, владеющие криптоактивами. Криптокомпании и технологические компании, использующие зараженную версию axios, могли — сами того не зная — предоставить злоумышленникам бэкдор для доступа к внутренним системам, из-за чего ключи кошельков, API-ключи и торговые учетные данные подвергаются риску кражи.
Как компаниям оценить и отреагировать на эту атаку на цепочку поставок axios?
Рекомендуется немедленно выполнить следующие шаги: проверить, является ли версия axios в системе атакованной версией; просмотреть журналы обновлений ПО в период атаки (трехчасовое окно во вторник утром); выполнить сканирование на предмет наличия аномального доступа к учетным данным или внешних сетевых подключений; и связаться с организациями по кибербезопасности, такими как Huntress и Mandiant, для профессиональной оценки.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
