JavaScript 라이브러리 Axios에 대한 주요 공급망 공격은 북한 위협 행위자에 의해 수행된 것으로 의심됩니다. 매주 1억 번 이상 다운로드되는 Axios의 노드 패키지 관리자 계정이 손상되어 plain-crypto-js라는 악성 종속성이 도입될 수 있었습니다.
종속성의 손상된 버전은 몇 시간 내에 제거되었습니다. 그러나 Axios의 광범위한 채택으로 인해 많은 사용자가 중독된 버전을 다운로드했을 수 있다는 우려가 제기되었습니다. GTIG(Google Threat Intelligence Group)의 연구원들은 악성 종속성을 Windows, Linux 및 Mac 환경에 Waveshaper.v2라는 백도어를 설치하는 난독화된 드로퍼로 식별했습니다.
GTIG는 이번 공격의 원인이 UNC1069라는 그룹에 의한 것으로 보고 있습니다. 이 그룹은 최소 2018년부터 활동해 왔습니다. Waveshaper.v2는 이전에 동일한 그룹과 관련되었던 백도어의 최신 버전으로 보고되었습니다. 또한 Sophos는 이 공격을 Nickel Gladstone으로 알려진 북한 기반 해커와 연관시켰습니다.
GTIG의 수석 분석가인 존 헐트퀴스트는 “북한 해커들은 역사적으로 암호화폐를 훔치는 데 사용했던 공급망 공격에 대한 깊은 경험을 갖고 있다”고 말했다. 그는 손상된 패키지의 인기로 인해 심각한 영향을 미칠 가능성이 있음을 강조했습니다.
GTIG의 수석 위협 분석가인 Austin Larsen은 [email protected] 또는 [email protected]를 다운로드한 사람은 누구나 실수로 백도어 페이로드를 실행했을 수 있다고 경고했습니다. 이 경고는 사건이 처음 감지된 후 LinkedIn 게시물에 나왔습니다.
해당 공격을 발견한 스텝 시큐리티는 이를 계획된 침해라고 설명했다. 악성 종속성은 월요일 배포 18시간 전에 준비되었으며 Axios의 두 릴리스 브랜치는 서로 39분 이내에 감염되었습니다.
공격자는 처음에 기본 관리자 jasonsaayman의 npm 계정을 손상시켜 등록된 이메일을 공격자가 제어하는 ProtonMail 주소로 변경했습니다. 스텝시큐리티는 악성 아티팩트가 자폭하도록 설정되어 있다고 밝혀 사건의 정교성에 대한 우려를 자아냈다.
연구원들은 이 공격을 주요 npm 패키지에 대한 “지금까지 문서화된 가장 운영상 정교한 공급망 공격” 중 하나로 규정했습니다. Huntress의 John Hammond는 Axios를 사용하는 다양한 조직에 대한 잠재적인 다운스트림 영향에 대한 우려를 표명했습니다.
Hammond는 “Node.js 또는 JavaScript 소프트웨어를 사용하는 모든 조직이 손상된 Axios 구성 요소에 의존할 수 있기 때문에 전체 효과는 동적이며 여전히 밝혀지고 있습니다.”라고 말했습니다.
이 사건은 Aqua Security의 오픈 소스 도구인 Trivy를 포함한 다른 대상을 대상으로 하는 공급망 공격의 최근 추세의 일부이며 TeamPCB라는 다른 위협 행위자에 의해 손상되었습니다.
Mandiant Consulting의 CTO인 Charles Carmakal은 최근 공급망 공격으로 인해 수천 개의 자격 증명이 도난당했으며 추가 SaaS 손상, 랜섬웨어, 암호화폐 강탈과 같은 임박한 위협에 대해 경고했다고 언급했습니다.
<시간 />
