Кибератака Северной Кореи: как взломали популярный проект Axios

Кибератака северокорейских хакеров, которая в прошлый понедельник временно захватила один из самых популярных проектов с открытым исходным кодом, готовилась несколько недель. Это часть длительной кампании по нацеливанию на ведущих разработчиков.

Захват проекта Axios 31 марта отчасти удался благодаря тому, что хорошо оснащённые хакеры выстраивали отношения и доверие с намеченной жертвой в течение длительного периода. Такой подход повышал шансы на успешный компромисс в конечном итоге. Подобные взломы подчёркивают проблемы безопасности, с которыми сталкиваются разработчики популярных проектов с открытым исходным кодом, особенно когда государственные хакеры и киберпреступники нацеливаются на широко используемое программное обеспечение для доступа к миллионам устройств по всему миру.

Джейсон Саайман, сопровождающий популярный проект Axios, который разработчики используют для подключения приложений к интернету, предоставил анализ инцидента с хронологией. Он сообщил, что хакеры начали свою кампанию по нацеливанию примерно за две недели до того, как в конечном итоге получили контроль над его компьютером для распространения вредоносного кода.

Выдавая себя за реальную компанию, создавая правдоподобное рабочее пространство в Slack и используя поддельные профили сотрудников для повышения доверия, подозреваемые северокорейские хакеры затем пригласили его на веб-встречу. На ней его побудили загрузить вредоносное ПО, маскирующееся под обновление, необходимое для доступа к звонку. Саайман отметил, что эта уловка имитирует технику, используемую северокорейскими хакерами, чтобы заставить потенциальных жертв предоставить им удалённый доступ к своей системе, часто с целью кражи криптовалюты.

Эта атака, по словам Сааймана, повторяла более ранние взломы, которые исследователи безопасности Google связывали с Северной Кореей.

После компрометации и получения удалённого доступа к компьютеру Сааймана хакеры выпустили вредоносные обновления для проекта Axios.

Два вредоносных пакета Axios, удалённые примерно через три часа после первой публикации 31 марта, могли заразить тысячи систем в течение этого окна. Полный масштаб массового взлома до конца не ясен. Любой компьютер, установивший вредоносную версию программного обеспечения в этот период, мог позволить хакерам похитить приватные ключи, учётные данные и пароли, что может привести к дальнейшим нарушениям.

Северокорейские хакеры остаются одной из самых активных киберугроз в интернете. Им приписывают кражу как минимум 2 миллиардов долларов в криптовалюте только в 2025 году.

Режим Ким Чен Ына остаётся под международными санкциями и отлучён от глобальной финансовой сети за нарушение запрета на программу разработки ядерного оружия. Страна в значительной степени финансирует эту программу за счёт запуска кибератак и краж криптовалюты.

Считается, что в Северной Корее тысячи высокоорганизованных хакеров, большинство из которых работают против своей воли под репрессивным режимом. Эти хакеры тратят недели или месяцы на проведение сложных атак социальной инженерии, направленных на завоевание доверия и получение доступа для кражи криптовалюты и данных с целью шантажа жертв.