El responsable del paquete Axios npm ha confirmado que el compromiso de la cadena de suministro fue el resultado de una campaña de ingeniería social muy específica orquestada por actores de amenazas norcoreanos rastreados como UNC1069.
mantenedor Jason Saayman dijo que los atacantes adaptaron sus esfuerzos de ingeniería social “específicamente a mí”, acercándose primero a él bajo la apariencia del fundador de una empresa legítima y conocida.
“Habían clonado la imagen de los fundadores de la empresa, así como la propia empresa”, dijo Saayman en una autopsia del incidente. “Luego me invitaron a un espacio de trabajo real de Slack. Este espacio de trabajo tenía la marca del CI de la empresa y un nombre plausible. El (espacio de trabajo) de Slack estaba muy bien pensado; tenían canales donde compartían publicaciones de LinkedIn”.
Posteriormente, se dice que los actores de amenazas programaron una reunión con él en Microsoft Teams. Al unirse a la llamada falsa, se le presentó un mensaje de error falso que decía “algo en mi sistema no estaba actualizado”. Tan pronto como se activó la actualización, el ataque provocó la implementación de un troyano de acceso remoto.
El acceso proporcionado por el troyano permitió a los atacantes robar las credenciales de la cuenta npm necesarias para publicar dos versiones troyanizadas del paquete Axios npm (1.14.1 y 0.30.4) que contiene un implante llamado WAVESHAPER.V2.
“Todo estuvo muy bien coordinado, parecía legítimo y se hizo de manera profesional”, añadió Saayman.
La cadena de ataque descrita por el responsable del proyecto comparte amplias superposiciones con las técnicas asociadas con UNC1069 y BlueNoroff. Los detalles de la campaña fueron documentados extensamente por Huntress y Kaspersky el año pasado, y este último la rastreó bajo el nombre de GhostCall.
“Históricamente, (…) estos tipos específicos han perseguido a los fundadores de criptomonedas, capitalistas de riesgo y personas públicas”, dijo el investigador de seguridad Taylor Monahan. “Les aplican ingeniería social, se hacen cargo de sus cuentas y se dirigen a la siguiente ronda de personas. En mi opinión, esta evolución hacia la orientación (mantenedores de OSS) es un poco preocupante”.
Como medidas preventivas, Saayman ha descrito varios cambios, incluido el restablecimiento de todos los dispositivos y credenciales, la configuración de versiones inmutables, la adopción del flujo OIDC para la publicación y la actualización de GitHub Actions para adoptar las mejores prácticas.
Los hallazgos demuestran cómo los mantenedores de proyectos de código abierto se están convirtiendo cada vez más en el objetivo de ataques sofisticados, lo que permite de manera efectiva que los actores de amenazas apunten a usuarios intermedios a gran escala mediante la publicación de versiones envenenadas de paquetes muy populares.
Dado que Axios atrae casi 100 millones de descargas semanales y se utiliza mucho en todo el ecosistema de JavaScript, el radio de explosión de un ataque de este tipo a la cadena de suministro puede ser enorme, ya que se propaga rápidamente a través de dependencias directas y transitivas.
“Un paquete tan ampliamente utilizado como Axios que está comprometido muestra lo difícil que es razonar sobre la exposición en un entorno JavaScript moderno”, dijo Ahmad Nassri de Socket. “Es una propiedad de cómo funciona hoy la resolución de dependencias en el ecosistema”.
