Захоплення Північною Кореєю одного з найпопулярніших проектів з відкритим кодом в інтернеті готувалось тижнями
Північнокорейська кібератака, яка ненадовго викрала один із найпоширеніших проектів з відкритим кодом в Інтернеті, тривала тижні в рамках тривалої кампанії, спрямованої проти провідних розробників коду.
Викрадення проєкту Axios було частково успішним, оскільки воно спиралося на добре забезпечених хакерів, які протягом тривалого часу встановлювали взаєморозуміння та довіру зі своєю цільовою групою, що збільшувало їхні шанси на успішну компрометацію. Такий вид злому підкреслює проблеми безпеки, з якими можуть зіткнутися розробники популярних проєктів з відкритим кодом у той час, коли урядові хакери та кіберзлочинці націлені на широко використовувані проєкти через їхню здатність отримувати доступ, у деяких випадках, до мільйонів пристроїв по всьому світу.
Джейсон Сайман, який підтримує популярний проєкт Axios, що використовується розробниками для підключення своїх додатків до Інтернету, надав посмертний огляд із хронологією злому. Він розповів, що хакери розпочали свою кампанію з атаки приблизно за два тижні до того, як нарешті отримали контроль над його комп’ютером для виведення шкідливого коду.
Видаючи себе за справжню компанію, створюючи реалістичний робочий простір Slack та використовуючи фальшиві профілі своїх співробітників для зміцнення довіри, Сайман сказав , що підозрювані північнокорейські хакери потім запросили його на веб-зустріч, яка спонукала його завантажити шкідливе програмне забезпечення, замасковане під оновлення, необхідне для доступу до дзвінка. Сайман сказав, що приманка імітувала техніку, яку використовують північнокорейські хакери, щоб обманом змусити потенційних жертв надати хакерам віддалений доступ до їхньої системи, часто для крадіжки їхньої криптовалюти.
За словами Саймана, ця атака імітувала попередні хакерські атаки, які дослідники безпеки Google приписують Північній Кореї .
Після компрометації та отримання віддаленого доступу до комп'ютера Саймана, хакери випустили шкідливі оновлення для проекту Axios.
Два шкідливі пакети Axios, видалені приблизно через три години після їх першої публікації 31 березня, можливо, все ще заразили тисячі систем протягом цього періоду, хоча повний масштаб масового зламу ще не повністю з'ясований. Будь-який комп'ютер, на який було встановлено шкідливу версію програмного забезпечення протягом цього часу, міг дозволити хакерам викрасти їхні приватні ключі, облікові дані та паролі з цього комп'ютера, що може призвести до подальших порушень.
Сайман не одразу відповів на електронний лист із запитаннями щодо інциденту.
Північнокорейські хакери залишаються однією з найактивніших кіберзагроз в інтернеті сьогодні, їх звинувачують у крадіжці криптовалюти на суму щонайменше 2 мільярди доларів лише у 2025 році.
Режим Кім Чен Ина залишається під міжнародними санкціями та забороненим до участі в глобальній фінансовій мережі за порушення заборони на програму розробки ядерної зброї, яку країна значною мірою фінансує за рахунок кібератак та крадіжки криптовалюти.
Вважається, що в Північній Кореї є тисячі високоорганізованих хакерів, більшість з яких працюють проти своєї волі за репресивного режиму Кіма. Ці хакери витрачають тижні або місяці на складні атаки соціальної інженерії, спрямовані на отримання довіри та, зрештою, доступ до крадіжки криптовалюти та даних для вимагання грошей у своїх жертв.