Хакеры, связанные с КНДР, встроили вредоносный код в open-source библиотеку Axios

Google и независимые исследователи сообщили об атаке на open-source библиотеку Axios — популярный компонент, который используется для связи приложений и веб-сервисов. По данным Reuters, за атакой стоит группа, которую Google отслеживает как UNC1069 и связывает с Северной Кореей.

Злоумышленники добавили вредоносный код в обновление Axios, выпущенное в понедельник. Позже этот код удалили, но до этого он мог дать атакующим доступ к данным на компьютере, включая учётные данные. Такие credentials затем можно использовать для дальнейших атак, кражи данных и движения по инфраструктуре жертвы.

Исследователи называют инцидент supply chain attack — атакой на цепочку поставок. Смысл в том, что пользователю не нужно делать ничего подозрительного: вредоносный код приходит через уже доверенный компонент, который используется в работе сервисов и приложений. Как отметил исследователь SentinelOne Том Хегель, проблема в том, что «софт, которому вы уже доверяете, делает это за атакующего».

Другие новости и материалы по AI — в Telegram-канале NH | Новости технологий, AI и будущее.

Axios — не громкий пользовательский продукт, а библиотека «за кадром», которая задействована во множестве повседневных сценариев. По словам исследователей, её потенциальный охват может измеряться миллионами окружений. При этом пока неясно, сколько именно заражённых обновлений успели установить.

Отдельно отмечается, что вредоносные версии были подготовлены сразу под macOS, Windows и Linux. Это делает инцидент особенно неприятным: речь идёт не о локальной ошибке в одном стеке, а о попытке максимально широко использовать доверие к распространённому open-source компоненту.

Google связывает UNC1069 с операциями против криптовалютного и финансового сектора. По данным властей