Google "Axios" npm paketinə edilən tədarük zənciri hücumunun UNC1069 adlı Şimali Koreya qruplaşması tərəfindən həyata keçirildiyini rəsmən təsdiqləyib. RADIX.AZ xəbər verir ki, Google Threat Intelligence Group-un (GTIG) baş analitiki Con Hultkvist bu kiberhücumun Şimali Koreya hakerlərinə xas olan ssenari üzrə inkişaf etdiyini bildirib. Təhlükəsizlik mütəxəssislərinin fikrincə, Axios-un geniş yayılması bu insidentin təsir dairəsinin çox böyük olacağını göstərir.
Hücumun texniki təfərrüatları
Hakerlər paketin saxlanılmasına cavabdeh olan şəxsin npm hesabını ələ keçirərək, Axios-un 1.14.1 və 0.30.4 versiyalarına zərərli kod daxil ediblər. Bu versiyalar Windows, macOS və Linux sistemlərinə sızmaq üçün nəzərdə tutulmuş "plain-crypto-js" adlı asılılıqdan istifadə edir. Hücum zamanı birbaşa Axios kodunda dəyişiklik edilməsə də, zərərli kod "package.json" faylındakı xüsusi skript vasitəsilə gizli şəkildə işə düşür.
WAVESHAPER.V2: Çoxplatformalı təhlükə
Tədqiqatlar göstərir ki, sistemə yoluxan zərərli proqram SILKBELL adlı dropper vasitəsilə qurbanın əməliyyat sisteminə uyğun gələn əlavə yükləri (payload) uzaq serverdən yükləyir. Əsas zərərli komponent olan WAVESHAPER.V2, UNC1069 qrupunun əvvəllər istifadə etdiyi implantın təkmilləşdirilmiş versiyasıdır. Bu proqram aşağıdakı imkanlara malikdir:
- Faylların və qovluqların siyahısını əldə etmək;
- PowerShell, AppleScript və ya shell əmrlərini icra etmək;
- İxtiyari binar faylları dekodlaşdırıb işə salmaq;
- Özünü sistemdən təmizləyərək izləri itirmək.
Şimali Koreya və maliyyə hədəfləri
Microsoft və CrowdStrike kimi şirkətlər də bu hücumu Şimali Koreyanın dövlət dəstəkli qrupları olan Sapphire Sleet və Stardust Chollima ilə əlaqələndirirlər. Baxmayaraq ki, Axios hücumunda hələlik konkret kriptovalyuta oğurluğu faktı qeydə alınmayıb, mütəxəssislər bu qrupun əsas missiyasının rejim üçün gəlir əldə etmək olduğunu vurğulayırlar. İstifadəçilərə asılılıq ağaclarını yoxlamaq, Axios paketini təhlükəsiz versiyaya qaytarmaq və şübhəli şəbəkə aktivliyini bloklamaq tövsiyə olunur.
