Tin tặc Triều Tiên bị đổ lỗi vì đã chiếm quyền điều khiển dự án nguồn mở Axios nổi tiếng để phát tán phần mềm độc hại
Một hacker bị nghi ngờ ở Triều Tiên đã chiếm quyền điều khiển và sửa đổi một công cụ phát triển phần mềm nguồn mở phổ biến để phát tán phần mềm độc hại có thể khiến hàng triệu nhà phát triển có nguy cơ bị xâm phạm.
Hôm thứ Hai, một hacker đã phát tán các phiên bản độc hại của thư viện JavaScript được sử dụng rộng rãi có tên Axios, thư viện mà các nhà phát triển dựa vào để cho phép phần mềm của họ kết nối với internet.
Thư viện bị ảnh hưởng được lưu trữ trên npm, kho lưu trữ phần mềm lưu trữ mã cho các dự án nguồn mở.
Axios được tải xuống hàng chục triệu lần mỗi tuần.
Theo công ty bảo mật StepSecurity, đơn vị phân tích vụ tấn công, vụ tấn công đã được phát hiện và dừng lại trong khoảng ba giờ qua đêm từ thứ Hai đến thứ Ba.
Tin tặc đang ngày càng nhắm mục tiêu vào các nhà phát triển của các dự án nguồn mở phổ biến nhằm nỗ lực tấn công hàng loạt bất kỳ ai dựa vào mã bị xâm nhập, có khả năng cấp cho tin tặc quyền truy cập vào số lượng lớn thiết bị bị ảnh hưởng.
Những loại vi phạm phổ biến này được gọi là tấn công chuỗi cung ứng vì chúng nhắm mục tiêu vào phần mềm cho phép tin tặc tấn công bất kỳ ai đã tải xuống phần mềm bị xâm nhập.
Trong những năm gần đây, tin tặc đã nhắm mục tiêu vào các công ty như 3CX, Kaseya và SolarWinds, cũng như các công cụ nguồn mở như Log4j và Polyfill.io, để nhắm mục tiêu vào số lượng lớn người dùng của họ.
Hiện tại vẫn chưa rõ có bao nhiêu người đã tải xuống phiên bản Axios độc hại trong khoảng thời gian đó.
Công ty bảo mật Aikido, cũng điều tra vụ việc, cho biết bất kỳ ai tải xuống mã "nên cho rằng hệ thống của họ đã bị xâm phạm".
John Hultquist, nhà phân tích chính của Nhóm Tình báo Đe dọa của Google cho biết: “Chúng tôi quy kết cuộc tấn công là do một kẻ bị nghi ngờ là mối đe dọa từ Triều Tiên mà chúng tôi theo dõi là UNC1069”.
“Tin tặc Triều Tiên có kinh nghiệm sâu sắc về các cuộc tấn công chuỗi cung ứng mà trước đây họ từng sử dụng để đánh cắp tiền điện tử.
Toàn bộ phạm vi của sự cố này vẫn chưa rõ ràng, nhưng với mức độ phổ biến của gói bị xâm nhập, chúng tôi cho rằng nó sẽ có tác động sâu rộng.”
Hoặc các cuộc tấn công chuỗi cung ứng khác?
Từ một thiết bị không hoạt động, bạn có thể liên hệ với Lorenzo Franceschi-Bicchierai một cách an toàn trên Signal theo số +1 917 257 1382 hoặc qua Telegram, Keybase và Wire @lorenzofb hoặc qua email.
