Axios HTTP istemcisinin geliştiricileri, Kuzey Koreli hackerlarla bağlantılı bir sosyal mühendislik kampanyasının hedefi olan bir geliştiricinin durumunu detaylı bir şekilde açıkladı. Bu olay, tehdit aktörlerinin bir bakımcı hesabını ele geçirerek npm paket kayıt sisteminde iki kötü amaçlı versiyon (1.14.1 ve 0.30.4) yayımlamasını takip etti; bu, bir tedarik zinciri saldırısı başlattı.
Saldırı Nasıl Çalışıyor?
Şüpheli yazılımlar, plain-crypto-js adlı bir bağımlılığı içeren kötü amaçlı Axios sürümleriyle, macOS, Windows ve Linux sistemlerde uzaktan erişim trojanı (RAT) yükledi. Bu kötü amaçlı versiyonlar, yaklaşık üç saat boyunca erişilebilir kaldıktan sonra kaldırıldı. Ancak, bu süre zarfında bu sürümleri yükleyen sistemler tehlikeye girmiş sayılmalıdır ve tüm kimlik bilgileri ve doğrulama anahtarları değiştirilmelidir.
Axios bakımcıları, etkilenen sistemleri temizledi, tüm kimlik bilgilerini sıfırladı ve benzer olayları önlemek için gerekli değişiklikleri yapıyorlar. Google Tehdit İstihbarat Grubu, bu saldırıyı 2018’den beri aktif olan Kuzey Kore bağlantılı tehdit aktörü UNC1069 ile ilişkilendirdi.
Etkilenen Sistemler
Bu saldırı, aşağıdaki sistemleri etkilemiştir:
- macOS
- Windows
- Linux
Çözüm ve Korunma
Axios bakımcıları, saldırının projenin kaynak kodunu değiştirmediğini, bunun yerine meşru sürümlere kötü amaçlı bir bağımlılık enjekte edildiğini doğrulamıştır. Bu durumu önlemek için izlenmesi gereken adımlar:
- Tüm sistemlerinizi güncelleyin.
- Kötü amaçlı sürümleri yükleyen sistemlerde kimlik bilgilerinizi değiştirin.
- İlgili tüm portları kapatın.
- Kimi uygulamalarınızı gözden geçirerek güvenliğini sağlamak için güncel tutun.
Bu tür tedarik zinciri saldırıları giderek daha yaygın hale gelmektedir. Dolayısıyla, özellikle açık kaynak projelerinin bakımcılarının bu tür tehditlere dikkat etmesi ve gerekli önlemleri alması büyük önem taşımaktadır.
