Suspeita-se que um grande ataque à cadeia de suprimentos contra a biblioteca JavaScript Axios tenha sido realizado por um ator de ameaça norte-coreano. O Axios, que é baixado mais de 100 milhões de vezes por semana, teve sua conta do gerenciador de pacotes de nós comprometida, permitindo a introdução de uma dependência maliciosa chamada plain-crypto-js.
As versões comprometidas da dependência foram removidas em poucas horas. No entanto, a ampla adoção do Axios levanta preocupações de que muitos usuários possam ter baixado a versão envenenada. Pesquisadores do Google Threat Intelligence Group (GTIG) identificaram a dependência maliciosa como um conta-gotas ofuscado que instala um backdoor chamado Waveshaper.v2 em ambientes Windows, Linux e Mac.
GTIG atribui o ataque a um grupo conhecido como UNC1069, que está operacional desde pelo menos 2018. Waveshaper.v2 é relatado como uma versão mais recente de um backdoor anteriormente associado ao mesmo grupo. Além disso, a Sophos vinculou este ataque a um hacker norte-coreano conhecido como Nickel Gladstone.
“Os hackers norte-coreanos têm profunda experiência com ataques à cadeia de suprimentos, que historicamente usaram para roubar criptomoedas”, disse John Hultquist, analista-chefe da GTIG. Ele enfatizou o potencial para repercussões significativas devido à popularidade do pacote comprometido.
Austin Larsen, principal analista de ameaças da GTIG, alertou que qualquer pessoa que baixou [email protected] ou [email protected] pode ter executado inadvertidamente uma carga backdoor. Este aviso veio em uma postagem no LinkedIn após a detecção inicial do incidente.
A Step Security, que descobriu o ataque, descreveu-o como um compromisso planejado. A dependência maliciosa foi encenada 18 horas antes de sua implantação na segunda-feira, com ambos os ramos de lançamento do Axios envenenados com 39 minutos de intervalo.
O invasor inicialmente comprometeu a conta npm do mantenedor principal Jasonsaayman, alterando o e-mail registrado para um endereço ProtonMail controlado pelo invasor. A Step Security revelou que os artefatos maliciosos foram configurados para se autodestruir, levantando preocupações sobre a sofisticação do incidente.
Os pesquisadores caracterizaram esse ataque como um dos “ataques à cadeia de suprimentos mais sofisticados operacionalmente já documentados” contra um pacote NPM líder. John Hammond, da Huntress, expressou preocupação com os possíveis efeitos posteriores em várias organizações que dependem do Axios.
“Todos os efeitos são dinâmicos e ainda estão sendo descobertos, já que qualquer organização que use software Node.js ou JavaScript poderia contar com o componente Axios comprometido”, afirmou Hammond.
Este incidente faz parte de uma tendência recente de ataques à cadeia de abastecimento, com outros alvos, incluindo Trivy, uma ferramenta de código aberto da Aqua Security, que também foi comprometida por um agente de ameaça diferente chamado TeamPCB.
Charles Carmakal, CTO da Mandiant Consulting, observou que os recentes ataques à cadeia de suprimentos resultaram em milhares de credenciais roubadas, alertando sobre ameaças iminentes, como novos comprometimentos de SaaS, ransomware e roubos de criptografia.
