Een grote supply chain-aanval op de JavaScript-bibliotheek Axios wordt vermoedelijk uitgevoerd door een Noord-Koreaanse bedreigingsacteur. Bij Axios, dat meer dan 100 miljoen keer per week wordt gedownload, is het knooppuntpakketmanageraccount gecompromitteerd, waardoor de introductie van een kwaadaardige afhankelijkheid met de naam plain-crypto-js mogelijk is.
De gecompromitteerde versies van de afhankelijkheid werden binnen enkele uren verwijderd. De grootschalige adoptie van Axios roept echter zorgen op dat veel gebruikers de vergiftigde versie mogelijk hebben gedownload. Onderzoekers van de Google Threat Intelligence Group (GTIG) identificeerden de kwaadaardige afhankelijkheid als een versluierde dropper die een achterdeur genaamd Waveshaper.v2 installeert in Windows-, Linux- en Mac-omgevingen.
GTIG schrijft de aanval toe aan een groep die bekend staat als UNC1069 en die minstens sinds 2018 operationeel is. Waveshaper.v2 wordt gerapporteerd als een nieuwere versie van een achterdeur die eerder aan dezelfde groep was gekoppeld. Bovendien heeft Sophos deze aanval gekoppeld aan een in Noord-Korea gevestigde hacker die bekend staat als Nickel Gladstone.
“Noord-Koreaanse hackers hebben diepgaande ervaring met supply chain-aanvallen, die ze van oudsher hebben gebruikt om cryptocurrency te stelen”, zegt John Hultquist, hoofdanalist bij GTIG. Hij benadrukte het potentieel voor aanzienlijke gevolgen als gevolg van de populariteit van het gecompromitteerde pakket.
Austin Larsen, hoofddreigingsanalist bij GTIG, waarschuwde dat iedereen die [email protected] of [email protected] heeft gedownload, mogelijk per ongeluk een backdoor-payload heeft uitgevoerd. Deze waarschuwing kwam in een LinkedIn-post na de eerste detectie van het incident.
Step Security, die de aanval ontdekte, omschreef het als een gepland compromis. De kwaadaardige afhankelijkheid vond plaats 18 uur vóór de inzet op een maandag, waarbij beide release-takken van Axios binnen 39 minuten na elkaar werden vergiftigd.
De aanvaller heeft in eerste instantie het npm-account van de hoofdbeheerder Jasonsaayman gecompromitteerd, waarbij het geregistreerde e-mailadres is gewijzigd in een ProtonMail-adres dat door de aanvaller wordt beheerd. Step Security onthulde dat de kwaadaardige artefacten zichzelf zouden vernietigen, wat aanleiding gaf tot bezorgdheid over de verfijning van het incident.
Onderzoekers typeerden deze aanval als een van de “operationeel meest geavanceerde supply chain-aanvallen ooit gedocumenteerd” tegen een toonaangevend npm-pakket. John Hammond van Huntress uitte zijn bezorgdheid over de mogelijke gevolgen voor verschillende organisaties die op Axios vertrouwen.
“De volledige effecten zijn dynamisch en worden nog steeds niet ontdekt, omdat elke organisatie die Node.js of JavaScript-software gebruikt, kan vertrouwen op de gecompromitteerde Axios-component”, aldus Hammond.
Dit incident maakt deel uit van een recente trend van aanvallen op de toeleveringsketen, met andere doelwitten, waaronder Trivy, een open-source tool van Aqua Security, die ook werd gecompromitteerd door een andere bedreigingsacteur genaamd TeamPCB.
Charles Carmakal, CTO bij Mandiant Consulting, merkte op dat recente supply chain-aanvallen hebben geresulteerd in duizenden gestolen inloggegevens, waarmee hij waarschuwt voor dreigende bedreigingen zoals verdere SaaS-compromissen, ransomware en crypto-overvallen.
