Google приписывает атаку на цепочку поставок npm Axios северокорейской группе UNC1069

Google связал недавнюю атаку на цепочку поставок npm Axios с северокорейским угрозой UNC1069. Атака включала троянизированные версии 1.14.1 и 0.30.4, которые распространяли вредоносное ПО WAVESHAPER.V2, затрагивая несколько операционных систем.

Атака была классическим компромиссом цепочки поставок: злоумышленники загрузили троянизированные версии популярного пакета npm Axios, которые затем распространили вредоносное ПО на ничего не подозревающих разработчиков. Это не просто незначительная ошибка — это полномасштабная инфильтрация программной экосистемы.

UNC1069, группа, спонсируемая Северной Кореей, стоит за этой операцией. Они известны тем, что нацеливаются на криптовалютный и финансовый секторы, и эта атака идеально соответствует их методам. Вредоносное ПО WAVESHAPER.V2 предназначено для кражи конфиденциальных данных и установления постоянного доступа.

Группа анализа угроз Google (TAG) идентифицировала атаку и приписала её UNC1069. Эта группа активна в течение многих лет, нацеливаясь на разработчиков и компании в криптопространстве. Их цель? Финансовая выгода и шпионаж.

Атака подчеркивает уязвимости в экосистемах программного обеспечения с открытым исходным кодом. npm с его огромным деревом зависимостей является основной целью для государственных акторов. Один скомпрометированный пакет может распространиться на тысячи проектов.

Разработчикам рекомендуется проверять целостность пакетов, использовать lockfiles и отслеживать необычное поведение. Инструменты, такие как npm audit и сканирование зависимостей, могут помочь, но бдительность является ключевой. Это не первая атака на npm, и не последняя.

Более широкие последствия? Поддерживающим открытый исходный код нужно больше поддержки, и индустрия должна отдавать приоритет безопасности над удобством. До тех пор такие атаки будут продолжаться.