Кибератака, осуществленная Северной Кореей в прошлый понедельник и ненадолго захватившая один из самых популярных проектов с открытым исходным кодом в интернете, заняла несколько недель и является частью длительной кампании по нападению на ведущих разработчиков этого кода.
Взлом проекта Axios 31 марта отчасти удался благодаря тому, что хакеры, располагающие значительными ресурсами, в течение длительного времени налаживали доверительные отношения со своей целью, чтобы повысить шансы на успешное взлом. Подобные взломы подчеркивают проблемы безопасности, с которыми могут столкнуться разработчики популярных проектов с открытым исходным кодом, в то время как правительственные хакеры и киберпреступники нацелены на широко используемые проекты, поскольку они позволяют получить доступ, в некоторых случаях, к миллионам устройств по всему миру.
Джейсон Саайман, поддерживающий популярный проект Axios, который разработчики используют для подключения своих приложений к интернету, представил анализ причин взлома с указанием хронологии событий. Он рассказал, что хакеры начали свою кампанию примерно за две недели до того, как в конечном итоге получили контроль над его компьютером и начали распространять вредоносный код.
По словам Сааймана, предполагаемые северокорейские хакеры, выдав себя за реальную компанию, создав реалистично выглядящее рабочее пространство Slack и используя поддельные профили своих сотрудников для повышения доверия, пригласили его на веб-конференцию, где ему предложили загрузить вредоносное ПО, замаскированное под обновление, необходимое для доступа к звонку. Саайман сказал, что эта приманка имитировала технику, используемую северокорейскими хакерами, которые обманом заставляют потенциальных жертв предоставить им удаленный доступ к своей системе, часто для кражи криптовалюты.
По словам Сааймана, эта атака имитировала более ранние хакерские атаки, приписываемые Северной Корее исследователями безопасности из Google.
Взломав компьютер Сааймана и получив к нему удаленный доступ, хакеры выпустили вредоносные обновления для проекта Axios.
Два вредоносных пакета Axios, удаленные примерно через три часа после их первой публикации 31 марта, могли заразить тысячи систем за этот период, хотя полный масштаб массового взлома пока неясен. Любой компьютер, на котором была установлена вредоносная версия программного обеспечения в это время, мог позволить хакерам украсть его закрытые ключи, учетные данные и пароли, что может привести к дальнейшим утечкам данных.
Саайман не сразу ответил на электронное письмо с вопросами об инциденте.
Северокорейские хакеры остаются одной из самых активных киберугроз в интернете сегодня, и их обвиняют в краже криптовалюты как минимум на 2 миллиарда долларов только в 2025 году.
Режим Ким Чен Ына по-прежнему находится под международными санкциями и исключен из глобальной финансовой сети за нарушение запрета на программу разработки ядерного оружия, которую страна финансирует в значительной степени за счет кибератак и кражи криптовалюты.
Считается, что в Северной Корее действуют тысячи высокоорганизованных хакеров, большинство из которых работают против своей воли при репрессивном режиме Кима. Эти хакеры неделями или месяцами проводят сложные атаки с использованием методов социальной инженерии, направленные на завоевание доверия и, в конечном итоге, получение доступа к криптовалюте и данным для вымогательства у своих жертв.
Источник: techcrunch.com
