Die Maintainer des beliebten HTTP-Clients **Axios** haben einen detaillierten Post-Mortem-Bericht veröffentlicht, der beschreibt, wie einer ihrer Entwickler Ziel einer Social-Engineering-Kampagne wurde, die mit nordkoreanischen Hackern in Verbindung gebracht wird. Dies geschah, nachdem die Bedrohungsakteure ein Maintainer-Konto kompromittiert hatten, um zwei bösartige Versionen von **Axios** (1.14.1 und 0.30.4) im npm-Paket-Repository zu veröffentlichen und damit einen Supply-Chain-Angriff auszulösen. Diese Releases fügten eine Abhängigkeit namens `plain-crypto-js` ein, die einen Remote Access Trojan (RAT) auf macOS-, Windows- und Linux-Systemen installierte. Die bösartigen Versionen waren etwa drei Stunden lang verfügbar, bevor sie entfernt wurden. Systeme, die sie in diesem Zeitraum installiert hatten, sollten jedoch als kompromittiert betrachtet und alle Anmeldedaten sowie Authentifizierungsschlüssel sollten rotiert werden. Die **Axios**-Maintainer gaben an, betroffene Systeme bereinigt, alle Anmeldedaten zurückgesetzt und Änderungen implementiert zu haben, um ähnliche Vorfälle zu verhindern. Die **Google** Threat Intelligence Group hat diesen Angriff inzwischen nordkoreanischen Bedrohungsakteuren zugeordnet, die unter der Bezeichnung **UNC1069** verfolgt werden. "GTIG ordnet diese Aktivität UNC1069 zu, einem finanziell motivierten nordkoreanischen Bedrohungsakteur, der seit mindestens 2018 aktiv ist, basierend auf der Verwendung von WAVESHAPER.V2, einer aktualisierten Version von WAVESHAPER, die zuvor von diesem Bedrohungsakteur verwendet wurde", erklärt **Google**. "Darüber hinaus zeigt die Analyse von Infrastrukturartefakten, die bei diesem Angriff verwendet wurden, Überschneidungen mit Infrastruktur, die von UNC1069 bei früheren Aktivitäten genutzt wurde." ## Ziel einer Social-Engineering-Attacke Laut einem Post-Mortem-Bericht begann die Kompromittierung Wochen zuvor mit einem gezielten Social-Engineering-Angriff auf den Hauptmaintainer des Projekts, Jason Saayman. Die Angreifer gaben sich als legitimes Unternehmen aus, klonten dessen Branding und das Aussehen der Gründer und luden den Maintainer in einen **Slack**-Workspace ein, der das Unternehmen nachahmen sollte. Saayman zufolge enthielt der **Slack**-Server realistische Kanäle mit inszenierter Aktivität und gefälschten Profilen, die sich als Mitarbeiter und andere Open-Source-Maintainer ausgaben. "Sie luden mich dann in einen echten Slack-Workspace ein. Dieser Workspace war mit dem CI des Unternehmens gebrandet und plausibel benannt", erklärte Saayman in einem Beitrag zum Post-Mortem. "Der Slack war sehr gut durchdacht, sie hatten Kanäle, in denen sie LinkedIn-Posts teilten. Die LinkedIn-Posts gingen vermutlich einfach zum echten Unternehmenskonto, aber es war super überzeugend usw. Sie hatten sogar, was ich vermute, gefälschte Profile des Teams des Unternehmens, aber auch eine Reihe anderer OSS-Maintainer." Die Angreifer planten dann ein Meeting auf **Microsoft Teams**, an dem scheinbar zahlreiche Personen teilnahmen. Während des Anrufs wurde ein technischer Fehler angezeigt, der besagte, dass etwas auf dem System veraltet sei, und der Maintainer wurde aufgefordert, ein **Teams**-Update zu installieren, um den Fehler zu beheben. Dieses gefälschte Update war jedoch tatsächlich RAT-Malware, die den Bedrohungsakteuren Fernzugriff auf das Gerät des Maintainers verschaffte und es ihnen ermöglichte, die npm-Anmeldedaten für das **Axios**-Projekt zu erhalten. Andere Maintainer berichteten von ähnlichen Social-Engineering-Angriffen, bei denen die Bedrohungsakteure versuchten, sie zur Installation eines gefälschten **Microsoft Teams** SDK-Updates zu bewegen. Dieser Angriff ähnelt einem ClickFix-Angriff, bei dem den Opfern eine gefälschte Fehlermeldung angezeigt und sie dann aufgefordert werden, Schritte zur Fehlerbehebung zu befolgen, die Malware bereitstellen. Dieser Angriff spiegelt auch frühere Kampagnen wider, über die **Googles** Threat-Intelligence-Teams berichtet haben, bei denen nordkoreanische Bedrohungsakteure unter der Bezeichnung **UNC1069** dieselben Taktiken anwendeten, um Kryptowährungsunternehmen ins Visier zu nehmen. Bei früheren Kampagnen, die dem **UNC1069**-Bedrohungsakteur zugeordnet wurden, setzten die Bedrohungsakteure zusätzliche Payloads auf Geräten ein, wie Backdoors, Downloader und Infostealer, die darauf ausgelegt waren, Anmeldedaten, Browserdaten, Sitzungstoken und andere sensible Informationen zu stehlen. Da die Angreifer Zugriff auf authentifizierte Sitzungen erhielten, wurden MFA-Schutzmaßnahmen effektiv umgangen, was den Zugriff auf Konten ermöglichte, ohne sich erneut authentifizieren zu müssen. Die **Axios**-Maintainer bestätigten, dass der Angriff nicht die Modifizierung des Quellcodes des Projekts beinhaltete, sondern darauf abzielte, eine bösartige Abhängigkeit in ansonsten legitime Releases einzuschleusen. Pelle Wessman, Maintainer zahlreicher Open-Source-Projekte, darunter das beliebte **Mocha**-Framework, postete auf **LinkedIn**, dass er Ziel derselben Kampagne war und teilte einen Screenshot einer gefälschten RTC-Verbindungsfehlermeldung, die verwendet wurde, um Ziele zur Installation von Malware zu verleiten.  Als Wessman sich weigerte, die App zu installieren, versuchten die Bedrohungsakteure, ihn zu überzeugen, einen Curl-Befehl auszuführen. "Als klar wurde, dass ich die App nicht ausführen würde und wir hin und her über die Website und die Chat-App gesprochen hatten, machten sie einen letzten verzweifelten Versuch und versuchten, mich dazu zu bringen, einen Curl-Befehl auszuführen, der etwas herunterladen und ausführen würde. Als ich mich weigerte, gingen sie offline und löschten alle Gespräche", erklärte Wessman. Das Cybersicherheitsunternehmen **Socket** berichtete ebenfalls, dass es sich um eine koordinierte Kampagne handelte, die begonnen hatte, Maintainer beliebter Node.js-Projekte ins Visier zu nehmen. Mehrere Entwickler, darunter Maintainer weit verbreiteter Pakete und Node.js-Kernbeiträger, berichteten, ähnliche Outreach-Nachrichten und Einladungen zu von den Angreifern betriebenen **Slack**-Workspaces erhalten zu haben. **Socket** stellte fest, dass diese Maintainer für Pakete mit Milliarden von wöchentlichen Downloads verantwortlich sind, was zeigt, dass die Bedrohungsakteure sich auf Projekte mit hoher Auswirkung konzentrierten. "Seit wir unsere anfängliche Analyse des Axios-Kompromisses, eine Tiefenanalyse seiner versteckten Reichweite und einen Bericht über den Maintainer, der bestätigte, dass es sich um Social Engineering handelte, veröffentlicht haben, sind Maintainer aus dem gesamten Node.js-Ökosystem hervorgetreten, um zu berichten, dass sie von derselben Social-Engineering-Kampagne ins Visier genommen wurden", erklärte **Socket**. "Die Konten umfassen nun einige der am häufigsten abhängigen Pakete im npm-Repository und Node.js-Kern selbst, und zusammen bestätigen sie, dass Axios kein Einzelfall war. Es war Teil eines koordinierten, skalierbaren Angriffsmusters, das auf hochgradig vertrauenswürdige, hochwirksame Open-Source-Maintainer abzielte." **Socket** sagte, die Kampagne folgte einem konsistenten Muster, wobei die Bedrohungsakteure zuerst über Plattformen wie **LinkedIn** oder **Slack** Kontakt aufnahmen und dann die Empfänger in private oder halbprivate Workspaces einluden. Nachdem sie eine Beziehung zum Ziel aufgebaut hatten, planten die Bedrohungsakteure Videoanrufe, die in einigen Fällen über Websites durchgeführt wurden, die **Microsoft Teams** und andere Plattformen nachahmten. Während dieser Anrufe wurde den Zielen eine Fehlermeldung angezeigt, die sie aufforderte, "native" Desktop-Software zu installieren, die besser funktioniert, oder Befehle auszuführen, um die technischen Probleme zu beheben. Das gleiche Vorgehen, das gegen all diese Ziele im gleichen Zeitraum angewendet wurde, deutet darauf hin, dass es sich um eine koordinierte Kampagne und nicht um eine Reihe von Einzelfällen handelte. Die **Socket**-Forscher sagen, dass diese Arten von Supply-Chain-Angriffen immer häufiger werden, wobei Angreifer sich nun auf weit verbreitete Pakete konzentrieren, um eine weitreichende Wirkung zu erzielen.