El responsable del paquete Axios npm ha confirmado que el compromiso de la sujeción de suministro fue el resultado de una campaña de ingeniería social muy específica orquestada por actores de amenazas norcoreanos rastreados como UNC1069.
mantenedor Jason Saayman dijo que los atacantes adaptaron sus esfuerzos de ingeniería social “específicamente a mí”, acercándose primero a él bajo la apariencia del fundador de una empresa legítima y conocida.
“Habían clonado la imagen de los fundadores de la empresa, así como la propia empresa”, dijo Saayman en una necropsia del incidente. “Luego me invitaron a un espacio de trabajo existente de Slack. Este espacio de trabajo tenía la marca del CI de la empresa y un nombre plausible. El (espacio de trabajo) de Slack estaba muy proporcionadamente pensado; tenían canales donde compartían publicaciones de LinkedIn”.
Seguidamente, se dice que los actores de amenazas programaron una reunión con él en Microsoft Teams. Al unirse a la señal falsa, se le presentó un mensaje de error fingido que decía “poco en mi sistema no estaba actualizado”. Tan pronto como se activó la modernización, el ataque provocó la implementación de un troyano de golpe remoto.
El golpe proporcionado por el troyano permitió a los atacantes robar las credenciales de la cuenta npm necesarias para informar dos versiones troyanizadas del paquete Axios npm (1.14.1 y 0.30.4) que contiene un implante llamado WAVESHAPER.V2.
“Todo estuvo muy proporcionadamente coordinado, parecía oficial y se hizo de forma profesional”, añadió Saayman.
 |
| Fuente: Kaspersky |
La sujeción de ataque descrita por el responsable del esquema comparte considerables superposiciones con las técnicas asociadas con UNC1069 y BlueNoroff. Los detalles de la campaña fueron documentados extensamente por Huntress y Kaspersky el año pasado, y este postrero la rastreó bajo el nombre de GhostCall.
En estos ataques, a los usuarios se les muestra un mensaje de error segundos a posteriori de unirse a la señal, que indica que su sistema no funciona correctamente y les indica que descarguen un SDK astuto de Teleobjetivo o Teams a través de un mensaje emergente similar a ClickFix. Dependiendo del sistema activo de la víctima, esta movimiento conduce a la ejecución de un script AppleScript (para macOS) o PowerShell (para Windows).
Una de las cargas efectos maliciosas implementadas como parte de la sujeción de ataque es una puerta trasera maCOS basada en Nim (o una reforma de Go escrita para Windows) señal CosmicDoor que ofrece un completo conjunto de ladrones denominado SilentSiphon para capturar credenciales de navegadores web y administradores de contraseñas, y secretos asociados con GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust argo y .NET NuGet.
“Históricamente, (…) estos tipos específicos han perseguido a los fundadores de criptomonedas, capitalistas de peligro y personas públicas”, dijo el investigador de seguridad Taylor Monahan. “Les aplican ingeniería social, se hacen cargo de sus cuentas y se dirigen a la futuro ronda de personas. En mi opinión, esta proceso con destino a la orientación (mantenedores de OSS) es un poco preocupante”.
Como medidas preventivas, Saayman ha descrito varios cambios, incluido el restablecimiento de todos los dispositivos y credenciales, la configuración de versiones inmutables, la prohijamiento del flujo OIDC para la publicación y la modernización de GitHub Actions para adoptar las mejores prácticas.
Los hallazgos demuestran cómo los mantenedores de proyectos de código destapado se están convirtiendo cada vez más en el objetivo de ataques sofisticados, lo que permite de forma efectiva que los actores de amenazas apunten a usuarios intermedios a gran escalera mediante la publicación de versiones envenenadas de paquetes muy populares.
Entregado que Axios atrae casi 100 millones de descargas semanales y se utiliza mucho en todo el ecosistema de JavaScript, el radiodifusión de arrebato de un ataque de este tipo a la sujeción de suministro puede ser enorme, ya que se propaga rápidamente a través de dependencias directas y transitivas.
“Un paquete tan ampliamente utilizado como Axios que está comprometido muestra lo difícil que es razonar sobre la exposición en un entorno JavaScript reciente”, dijo Ahmad Nassri de Socket. “Es una propiedad de cómo funciona hoy la resolución de dependencias en el ecosistema”.
