开源HTTP客户端Axios近日发布安全报告,详细复盘了其开发者如何沦为北韩黑客组织的社交工程攻击目标,导致npm仓库被植入恶意版本。
黑客通过入侵Axios项目维护者Jason Saayman的账号,向npm注册表发布了1.14.1和0.30.4两个恶意版本。这些版本通过依赖项“plain-crypto-js”在macOS、Windows和Linux系统上安装远程访问木马(RAT)。
谷歌威胁情报组(GTIG)已将此攻击归因于北韩黑客组织UNC1069。该组织自2018年起活跃,此前曾多次利用WAVESHAPER恶意软件进行金融犯罪。
精心策划的钓鱼陷阱
据Saayman披露,黑客通过克隆知名公司品牌和高管身份,诱导他进入一个伪造的Slack工作区。Saayman表示,该工作区内不仅包含虚假的员工档案,甚至还有冒充其他开源维护者的账号,整体布局极其逼真。
在后续的Microsoft Teams视频会议中,黑客故意制造技术报错,诱导Saayman安装所谓的“Teams更新程序”。实际上,该程序就是远程访问木马,使攻击者能够窃取npm凭据并绕过双重身份验证(MFA)。
此次攻击持续时间约三小时,期间下载相关版本的系统均被视为已遭入侵。Axios维护团队已对受影响系统进行清理并重置了所有凭据。多名其他开源项目维护者也表示,近期遭遇了类似的冒充Teams SDK更新的钓鱼攻击。
此次事件再次敲响开源供应链安全的警钟。尽管Axios项目本身的源代码未被篡改,但通过注入恶意依赖项的方式,黑客成功利用了开发者的信任,展示了当前社交工程攻击在针对软件供应链时的极高隐蔽性。
