Axiosサプライチェーンアタックの責任があるとされている北朝鮮の脅威アクターが、様々なNode.jsメンテナーを狙ったソーシャルエンジニアリングキャンペーンを実施してきた、とSocketが報じている。
Axiosアタックは3月31日に発生し、2つの悪意あるパッケージバージョンがNPMレジストリに公開された。約3時間後に削除されたが、300万人を超えるユーザーにインストールされていた可能性が高い。
事後分析で、Axiosのリード・メンテナーであるジェイソン・サーマン(Jason Saayman)は、ハッカーが約2週間前に彼のコンピュータをバックドアで感染させたと説明した。
攻撃者は、DeceptiveDevelopment、Operation Dream Job、Contagious Interview、およびClickFake Interviewキャンペーンで以前に観察されたソーシャルエンジニアリング戦術を使用した。
サーマンをSlackワークスペースに招待した後、ハッカーはMicrosoft Teamsでミーティングをスケジュールした。ミーティングに参加する際、メンテナーはエラーメッセージを受け取り、彼のシステムをRATで感染させた偽のアップデートをインストールするよう指示された。
Axiosサプライチェーンアタックの責任があるとされている北朝鮮のハッキンググループUNC1069は、複数の有名なNode.jsメンテナーをターゲットにしたキャンペーンで、同様のソーシャルエンジニアリング戦術を使用している。
攻撃はSocket CEOのフェロス・アブフハディジェ(Feross Aboukhadijeh)、複数のSocketエンジニア、Node Package Maintenance Working Groupメンバーのウェス・トッド(Wes Todd)、Platformatic共同創業者兼CTOのマッテオ・コリーナ(Matteo Collina)、Dotenv作成者のスコット・モット(Scott Motte)、Node.js Security Working Group貢献者のウリセス・ガスコン(Ulises Gascón)、および他の人物を標的としていた。
Socketが説明するところによると、標的となった個人は数十億ダウンロードを有する数百のNPMパッケージを保守している。全員がサーマンと同様のソーシャルエンジニアリングアタックを報告した。
このキャンペーンは数週間にわたって実施され、細部まで注意深く、おとりをできるだけ説得力のあるものにするために行われた可能性が高い。攻撃者は一見合法的なミーティングインフラストラクチャを構築し、信頼を確立した後、意図した被害者をマルウェア実行に騙した。
「この作戦は実行に数週間かかり、目立たないように意図的に設計されている。攻撃者は時間をかけて関係を構築し、事前に通話をスケジュールして再スケジュールし、正当なビジネスコンタクトの専門性を持って行動する」とSocketは指摘している。
2月、GoogleはUNC1069がDeFi企業、暗号通貨企業、およびベンチャーキャピタル企業をターゲットにしたアタックで同じ戦術を使用していたと警告した。
「OSSメンテナーコミュニティがこれを非常に真剣に受け止めることを強くお勧めします。このアタックで使用された特定のペルソナとチャネルは調査中で削除されています。しかし、もっと多くあります。本当にたくさんあります。報告してください。話してください。共有してください。これは典型的なフィッシングではありません」と、セキュリティ研究者のテイ(Tay)がAxios事後分析スレッドでコメントした。
翻訳元: https://www.securityweek.com/north-korean-hackers-target-high-profile-node-js-maintainers/
