El equipo detrás del cliente HTTP de código abierto Axios publicó recientemente un informe de seguridad detallando cómo uno de sus desarrolladores fue blanco de una campaña de ingeniería social orquestada por un grupo de hackers norcoreanos, lo que resultó en la publicación de versiones maliciosas en el repositorio npm.
Tras comprometer la cuenta de Jason Saayman, mantenedor del proyecto Axios, los atacantes publicaron las versiones 1.14.1 y 0.30.4, las cuales contenían código malicioso. Estas versiones utilizaban la dependencia 'plain-crypto-js' para instalar un troyano de acceso remoto (RAT) en sistemas macOS, Windows y Linux.
El Grupo de Análisis de Amenazas de Google (GTIG) ha atribuido este ataque al grupo norcoreano UNC1069. Este colectivo, activo desde 2018, ha estado vinculado anteriormente a diversos delitos financieros mediante el uso del malware WAVESHAPER.
Una trampa de phishing meticulosamente planeada
Según reveló Saayman, los atacantes clonaron la identidad de una empresa reconocida y de sus ejecutivos para atraerlo a un espacio de trabajo falso en Slack. Saayman señaló que el entorno era extremadamente realista, incluyendo perfiles de empleados falsos e incluso cuentas que suplantaban a otros mantenedores de proyectos de código abierto.
Durante una videollamada posterior por Microsoft Teams, los atacantes simularon errores técnicos para convencer a Saayman de instalar lo que supuestamente era un "actualizador de Teams". En realidad, el programa era un troyano de acceso remoto que permitió a los atacantes robar las credenciales de npm y eludir la autenticación de doble factor (MFA).
El ataque duró aproximadamente tres horas, periodo durante el cual cualquier sistema que descargó las versiones afectadas se considera comprometido. El equipo de Axios ya ha saneado los sistemas afectados y restablecido todas las credenciales. Otros mantenedores de proyectos de código abierto han reportado intentos similares de phishing mediante la suplantación de actualizaciones del SDK de Teams.
Este incidente vuelve a encender las alarmas sobre la seguridad en la cadena de suministro de software. Aunque el código fuente original de Axios no fue alterado, la inyección de dependencias maliciosas demuestra cómo los atacantes explotan la confianza de los desarrolladores, evidenciando el alto nivel de sofisticación y sigilo de las técnicas de ingeniería social actuales.
