Как една компрометирана библиотека разкри нова вълна от координирани атаки
Поддържащият екип на популярния HTTP клиент Axios публикува подробен постмортем анализ, разкриващ как един от основните разработчици е станал жертва на прецизно планирана социално-инженерна атака. Инцидентът доведе до публикуването на две компрометирани версии (1.14.1 и 0.30.4) в npm регистъра – класически пример за supply chain атака с висок обхват.
Как е осъществен пробивът
Атаката започва седмици по-рано чрез целенасочено социално инженерство срещу водещия поддържащ разработчик Джейсън Саайман..
Нападателите:
- Създават фалшива компания с реалистичен брандинг
- Изграждат убедителна Slack среда с канали, активност и фалшиви профили
- Включват дори имитации на други open-source разработчици
- Изграждат доверие чрез реалистични взаимодействия
Кулминацията идва с покана за среща в Microsoft Teams, където се показва фалшива техническа грешка. За „решаването“ ѝ се предлага инсталиране на актуализация – която всъщност е зловреден софтуер.
Зловредният payload: RAT чрез зависимост
След компрометиране на системата, атакуващите получават достъп до npm акаунта и публикуват заразени версии на Axios.
Тези версии:
- Инжектират зависимост plain-crypto-js
- Инсталират Remote Access Trojan (RAT)
- Засягат macOS, Windows и Linux
- Позволяват кражба на:
- идентификационни данни
- сесийни токени
- чувствителна информация
Зловредните версии са били активни около 3 часа, но дори този кратък прозорец е достатъчен за компрометиране на множество системи.
Зад атаката: държавно подкрепени актьори
Разследването на Google Threat Intelligence Group свързва атаката с групата UNC1069 – финансово мотивирана структура, активна от поне 2018 г.
Атрибуцията се базира на:
- използването на malware семейството WAVESHAPER.V2
- припокриване на инфраструктура с предходни атаки
- сходство в тактиките и техниките
Заобикаляне на MFA и разширяване на атаката
Особено тревожен аспект е, че атакуващите са получили достъп до вече автентикирани сесии, което ефективно заобикаля многофакторната автентикация.
Това означава:
- достъп до акаунти без повторна автентикация
- възможност за странично придвижване в инфраструктурата
- трудно откриване на компромиса
Кампания с широк обхват
Случаят не е изолиран. Според анализи на Socket:
- множество Node.js разработчици са били таргетирани
- атаките следват един и същ сценарий
- целта са проекти с милиарди изтегляния седмично
Сред засегнатите е и Пеле Уесман, който описва подобен опит за компрометиране, включително натиск да изпълни злонамерена curl команда.
Тактики: новото лице на социалното инженерство
Кампанията комбинира няколко ключови техники:
- Имитация на доверени организации
- Фалшиви колаборационни среди
- Видео срещи с инсценирани грешки
- Фалшиви ъпдейти и SDK-и
- ClickFix сценарии (фалшиви грешки + инструкции за „поправка“)
Този модел показва високо ниво на подготовка и мащабируемост.
Реакция и мерки
От Axios потвърждават, че:
- изходният код не е модифициран
- атаката е реализирана чрез dependency injection
- всички засегнати системи са изчистени
- всички креденшъли са подменени
Препоръките към потребителите включват:
- незабавна ротация на пароли и ключове
- проверка за компрометирани зависимости
- одит на системите, инсталирали засегнатите версии
Анализ: ескалация на supply chain атаките
Този инцидент ясно показва нова тенденция:
Атакуващите вече не атакуват директно организациите – те атакуват доверието.
Open-source екосистемата се превръща в ключова цел, защото:
- един компрометиран пакет = хиляди засегнати проекти
- доверието към поддържащите е високо
- защитите често са фокусирани върху крайни системи, не върху веригата на доставки
Supply chain атаката срещу Axios демонстрира еволюцията на киберзаплахите – от технически експлойти към психологически и социални манипулации, комбинирани с прецизна техническа реализация.
В свят, в който доверието е ключов ресурс, именно то се превръща в най-уязвимата точка.
