**Google** hat die Supply-Chain-Kompromittierung des beliebten Axios npm-Pakets formell einer finanziell motivierten nordkoreanischen Bedrohungsaktivität zugeordnet, die als **UNC1069** verfolgt wird. "Wir haben den Angriff einem mutmaßlichen nordkoreanischen Akteur zugeschrieben, den wir als UNC1069 verfolgen", sagte John Hultquist, Chefanalyst bei der **Google** Threat Intelligence Group (GTIG), gegenüber The Hacker News in einer Erklärung. "Nordkoreanische Hacker verfügen über tiefgreifende Erfahrungen mit Supply-Chain-Angriffen, die sie historisch zur Entwendung von Kryptowährungen genutzt haben. Die volle Tragweite dieses Vorfalls ist noch unklar, aber angesichts der Popularität des kompromittierten Pakets erwarten wir weitreichende Auswirkungen." ### Angriffsdetails Die Entwicklung erfolgt, nachdem Bedrohungsakteure die Kontrolle über das npm-Konto des Paketpflegers übernommen hatten, um zwei trojanisierte Versionen 1.14.1 und 0.30.4 einzuschleusen, die eine bösartige Abhängigkeit namens "plain-crypto-js" einführten, die zur Bereitstellung einer plattformübergreifenden Backdoor verwendet wird, die Windows-, macOS- und Linux-Systeme infizieren kann. Anstatt Codeänderungen an Axios vorzunehmen, nutzt der Angriff einen Postinstall-Hook in der Datei "package.json" der bösartigen Abhängigkeit, um eine heimliche Ausführung zu erreichen. Sobald das kompromittierte Axios-Paket installiert ist, löst npm automatisch die Ausführung von bösartigem Code im Hintergrund aus. Insbesondere fungiert das Paket "plain-crypto-js" als "Payload-Delivery-Vehicle" für einen verschleierten JavaScript-Dropper namens SILKBELL ("setup.js"), der die entsprechende nächste Stufe von einem Remote-Server abruft, basierend auf dem Betriebssystem des Opfers. Wie bereits detailliert beschrieben, liefert der Windows-Ausführungszweig PowerShell-Malware, ein C++ Mach-O-Binary für macOS und eine Python-Backdoor für Linux-Systeme. Der Dropper führt auch eine Bereinigung durch, um sich selbst zu entfernen und die "package.json"-Datei des "plain-crypto-js"-Pakets durch eine saubere Version zu ersetzen, die keinen Postinstall-Hook hat. <table><tbody><tr><td><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi-INPXY0ZSI_LBYJhbmZyqamH1PQlfh5ZfryzZIPg0Nn_ojjuKO1XO2RHZn7PZfkSw_jIew5EJoEHmrcJD3P3a-KG1Q5C5ofTMzfU28IE_Jha5sGl8E1XRJRorEQZidf-i9QKCt7FP96GFKrl2aYRqghFIjzz3ihMXw9cuFRhVXgmuMbjOIF5vClUOsLTu/s1600/elastic.jpeg"><img src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi-INPXY0ZSI_LBYJhbmZyqamH1PQlfh5ZfryzZIPg0Nn_ojjuKO1XO2RHZn7PZfkSw_jIew5EJoEHmrcJD3P3a-KG1Q5C5ofTMzfU28IE_Jha5sGl8E1XRJRorEQZidf-i9QKCt7FP96GFKrl2aYRqghFIjzz3ihMXw9cuFRhVXgmuMbjOIF5vClUOsLTu/s1600/elastic.jpeg" data-original-width="1864" data-original-height="1168" alt=""></a></td></tr><tr><td>Bildquelle: **Elastic** Security Labs</td></tr></tbody></table> ### WAVESHAPER.V2 Backdoor Die Backdoor mit dem Codenamen WAVESHAPER.V2 wird als aktualisierte Version von WAVESHAPER eingeschätzt, einer C++-Backdoor, die von **UNC1069** bei Angriffen auf den Kryptowährungssektor eingesetzt wurde. Der Akteur ist seit 2018 aktiv. Die Verbindungen des Supply-Chain-Angriffs zu **UNC1069** wurden erstmals von **Elastic** Security Labs festgestellt, die Funktionsüberschneidungen nannten. Die drei WAVESHAPER.V2-Varianten unterstützen vier verschiedene Befehle und melden sich in 60-Sekunden-Intervallen beim Command-and-Control (C2)-Server: * **kill**, um den Ausführungsprozess der Malware zu beenden. * **rundir**, um Verzeichnislisten zusammen mit Dateipfaden, Größen und Erstellungs-/Änderungszeitstempeln aufzulisten. * **runscript**, um AppleScript-, PowerShell- oder Shell-Befehle basierend auf dem Betriebssystem auszuführen. * **peinject**, um beliebige Binärdateien zu dekodieren und auszuführen. "WAVESHAPER.V2 ist eine direkte Weiterentwicklung von WAVESHAPER, einer macOS- und Linux-Backdoor, die zuvor UNC1069 zugeschrieben wurde", sagten **Mandiant** und GTIG. "Während das ursprüngliche WAVESHAPER ein leichtgewichtiges, rohes Binär-C2-Protokoll verwendet und Code-Packing einsetzt, kommuniziert WAVESHAPER.V2 über JSON, sammelt zusätzliche Systeminformationen und unterstützt mehr Backdoor-Befehle." "Trotz dieser Upgrades akzeptieren beide Versionen ihre C2-URL dynamisch über Befehlszeilenargumente, teilen identische C2-Polling-Verhaltensweisen und eine ungewöhnliche User-Agent-Zeichenkette und stellen sekundäre Payloads in identischen temporären Verzeichnissen bereit (z. B. /Library/Caches/com.apple.act.mond)." ### Nordkoreanische Zuordnung Die Verbindungen zu Nordkorea werden auch dadurch gestärkt, dass das macOS-Binary Entwickler-Build-Pfade wie "Jain_DEV/client_mac/macWebT/macWebT" referenziert, wobei "macWebT" direkt mit dem "webT"-Modul von **BlueNoroff** aus den RustBucket- und Hidden Risk-Malware-Kampagnen von 2023 in Verbindung steht, so Forscher Giuseppe Massaro. ### Abhilfemaßnahmen Zur Abmilderung der Bedrohung wird Benutzern empfohlen, Abhängigkeitsbäume auf kompromittierte Versionen zu prüfen (und bei Fund auf eine sichere Version zurückzustufen), Axios in der Datei "package-lock.json" auf eine bekannte sichere Version zu fixieren, um versehentliche Upgrades zu verhindern, auf das Vorhandensein von "plain-crypto-js" in "node_modules" zu prüfen, bösartige Prozesse zu beenden, die C2-Domain ("sfrclak[.]com", IP-Adresse: 142.11.206[.]73) zu blockieren, betroffene Systeme zu isolieren und alle Anmeldeinformationen zu rotieren. "Der Axios-Angriff sollte als Vorlage und nicht als einmaliges Ereignis verstanden werden. Das hier dokumentierte Maß an operativer Raffinesse, einschließlich kompromittierter Anmeldeinformationen des Pflegers, vorab erstellter Payloads für drei Betriebssysteme, Treffer in beiden Release-Zweigen in unter 40 Minuten und integrierter forensischer Selbstzerstörung, spiegelt einen Akteur wider, der dies als skalierbare Operation geplant hat", sagte Tomislav Peričin, Chief Software Architect bei ReversingLabs, gegenüber The Hacker News. "Wenn diese Kampagne nun in PyPI und NuGet auftaucht, ist das konsistent mit dem, was die Angriffsmethodik bereits nahelegt: Das Ziel war maximale Entwicklerreichweite. Organisationen müssen nicht nur ihre npm-Abhängigkeiten prüfen, sondern jeden Paketmanager, der ihre Build-Pipelines speist, und alle in betroffenen Umgebungen exponierten Geheimnisse als kompromittiert behandeln, unabhängig davon, welches Registry sie berührt haben."