Javascript-Bibliothek: Nordkoreanische Hacker sollen hinter Axios-Hack stecken
Google ordnet den jüngsten Axios-Angriff einer nordkoreanischen Hackergruppe zu(öffnet im neuen Fenster) . John Hultquist, Chef-Analyst von Googles Threat Intelligence Group, erklärte, das Unternehmen verfolge den verdächtigen Akteur unter der Bezeichnung UNC1069.
Der volle Umfang des Vorfalls sei noch unklar, sagte Hultquist. Angesichts der weiten Verbreitung des betroffenen Pakets rechne man jedoch mit weitreichenden Auswirkungen.
Axios wird von Entwicklern eingesetzt, um Anwendungen mit dem Internet zu verbinden. Der Code ist auf npm gehostet, einem Repository für Open-Source-Projekte. Jede Woche wird Axios mehr als 100 Millionen Mal heruntergeladen, wie Techcrunch berichtet(öffnet im neuen Fenster) . Hacker hatten kurzfristig manipulierte Versionen einer weitverbreiteten Javascript-Entwicklerbibliothek verbreitet.
Die Sicherheitsfirma Stepsecurity entdeckte den Angriff(öffnet im neuen Fenster) und analysierte den Vorfall. Nach ihren Erkenntnissen dauerte die Kompromittierung etwa drei Stunden, bevor sie wieder gestoppt werden konnte. Die Zeitspanne war kurz, doch die potenzielle Reichweite enorm. Unklar bleibt, wie häufig die manipulierte Axios-Version während des Zeitfensters geladen wurde.
Die Angriffsmethode wird Supply-Chain-Attack genannt, weil sie die Lieferkette der Software ausnutzt. In den vergangenen Jahren gab es bereits Angriffe auf Unternehmen wie 3CX, Kaseya und Solarwinds sowie auf Open-Source-Tools wie Log4j und Polyfill.io .
Selbstlöschende Malware erschwert Analyse
Den Angreifern gelang die Kompromittierung eines Entwickler-Accounts. Der betroffene Entwickler gehörte zu den Hauptverantwortlichen des Projekts und besaß die Berechtigung, Updates zu veröffentlichen. Die Hacker ersetzten die E-Mail-Adresse des Entwicklers durch ihre eigene Wegwerf-Adresse, was es wohl erschwerte, den Zugang zurückzugewinnen.
Nach der Übernahme des Accounts fügten die Angreifer eine Referenz auf Schadcode ein, der darauf ausgelegt ist, einen Remote Access Trojan(öffnet im neuen Fenster) (RAT) auszuliefern. Diese Art von Malware ermöglicht es Hackern, vollständige Fernsteuerung über das Gerät eines Opfers zu erlangen. Die manipulierten Axios-Versionen wurden für Windows, MacOS und Linux bereitgestellt
Die Schadsoftware und Teile des Codes, der zu ihrer Auslieferung diente, waren so konzipiert, dass sie sich nach der Installation selbst löschten. Damit versuchten die Angreifer, Schutzmechanismen und Entwickler zu täuschen.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.