Los mantenedores del popular cliente HTTP **Axios** han publicado un detallado análisis post-mortem describiendo cómo uno de sus desarrolladores fue blanco de una campaña de ingeniería social vinculada a hackers norcoreanos. Esto sigue al compromiso de una cuenta de mantenedor por parte de los actores de amenazas para publicar dos versiones maliciosas de **Axios** (1.14.1 y 0.30.4) en el registro de paquetes npm, desencadenando un ataque a la cadena de suministro. Estas versiones inyectaron una dependencia llamada `plain-crypto-js` que instaló un troyano de acceso remoto (RAT) en sistemas macOS, Windows y Linux. Las versiones maliciosas estuvieron disponibles durante aproximadamente tres horas antes de ser eliminadas, pero los sistemas que las instalaron durante ese período deben considerarse comprometidos, y todas las credenciales y claves de autenticación deben rotarse. Los mantenedores de **Axios** dijeron que han limpiado los sistemas afectados, restablecido todas las credenciales y están implementando cambios para prevenir incidentes similares. El **Google** Threat Intelligence Group ha vinculado este ataque a actores de amenazas norcoreanos rastreados como **UNC1069**. "GTIG atribuye esta actividad a UNC1069, un actor de amenazas del nexo norcoreano con motivaciones financieras activo desde al menos 2018, basándose en el uso de WAVESHAPER.V2, una versión actualizada de WAVESHAPER utilizada previamente por este actor de amenazas", explica **Google**. "Además, el análisis de artefactos de infraestructura utilizados en este ataque muestra solapamientos con infraestructura utilizada por UNC1069 en actividades pasadas." ## Blanco de un Ataque de Ingeniería Social Según un análisis post-mortem, el compromiso comenzó semanas antes a través de un ataque de ingeniería social dirigido al mantenedor principal del proyecto, Jason Saayman. Los atacantes se hicieron pasar por una empresa legítima, clonaron su marca y la imagen de sus fundadores, e invitaron al mantenedor a un espacio de trabajo de **Slack** diseñado para hacerse pasar por la empresa. Saayman dice que el servidor de **Slack** contenía canales realistas, con actividad escenificada y perfiles falsos que se hacían pasar por empleados y otros mantenedores de código abierto. "Luego me invitaron a un espacio de trabajo real de Slack. este espacio de trabajo estaba marcado con la marca de la empresa y nombrado de manera plausible", explicó Saayman en una publicación del análisis post-mortem. "El Slack estaba muy bien pensado, tenían canales donde compartían publicaciones de LinkedIn, las publicaciones de LinkedIn presumo que simplemente iban a la cuenta real de la empresa, pero era súper convincente, etc. incluso tenían lo que presumo que eran perfiles falsos del equipo de la empresa, pero también un número de otros mantenedores de código abierto." Los atacantes luego programaron una reunión en **Microsoft Teams** que parecía incluir a numerosas personas. Durante la llamada, se mostró un error técnico, alegando que algo en el sistema estaba desactualizado, lo que llevó al mantenedor a instalar una actualización de **Teams** para solucionar el error. Sin embargo, esta actualización falsa era en realidad malware RAT que otorgó a los actores de amenazas acceso remoto al dispositivo del mantenedor, lo que les permitió obtener las credenciales npm para el proyecto **Axios**. Otros mantenedores informaron ataques de ingeniería social similares, donde los actores de amenazas intentaron que instalaran una actualización falsa del SDK de **Microsoft Teams**. Este ataque es similar a un ataque ClickFix, en el que a las víctimas se les muestra un mensaje de error falso y luego se les pide que sigan pasos de solución de problemas que implementan malware. Este ataque también refleja campañas anteriores informadas por los equipos de inteligencia de amenazas de **Google**, en las que actores de amenazas norcoreanos rastreados como **UNC1069** utilizaron las mismas tácticas para atacar a empresas de criptomonedas. En campañas anteriores atribuidas al actor de amenazas **UNC1069**, los actores de amenazas desplegarían cargas útiles adicionales en los dispositivos, como backdoors, descargadores e infostealers diseñados para robar credenciales, datos del navegador, tokens de sesión y otra información sensible. Dado que los atacantes obtuvieron acceso a sesiones autenticadas, las protecciones MFA se eludieron de manera efectiva, lo que permitió el acceso a las cuentas sin tener que volver a autenticarse. Los mantenedores de **Axios** confirmaron que el ataque no implicó la modificación del código fuente del proyecto, sino que se basó en la inyección de una dependencia maliciosa en lanzamientos legítimos. Pelle Wessman, mantenedor de numerosos proyectos de código abierto, incluido el popular framework **Mocha**, publicó en **LinkedIn** que fue blanco de la misma campaña y compartió una captura de pantalla de un mensaje de error falso de conexión RTC utilizado para engañar a los objetivos para que instalaran malware.  Cuando Wessman se negó a instalar la aplicación, los actores de amenazas intentaron convencerlo de que ejecutara un comando Curl. "Cuando quedó claro que no ejecutaría la aplicación y habíamos chateado de ida y vuelta en el sitio web y la aplicación de chat, hicieron un último intento desesperado e intentaron que ejecutara un comando curl que descargaría y ejecutaría algo, luego, cuando me negué, se volvieron oscuros y eliminaron todas las conversaciones", explicó Wessman. La firma de ciberseguridad **Socket** también informó que esta fue una campaña coordinada que ha comenzado a atacar a mantenedores de proyectos populares de Node.js. Múltiples desarrolladores, incluidos mantenedores de paquetes ampliamente utilizados y contribuidores principales de Node.js, informaron haber recibido mensajes de contacto similares e invitaciones a espacios de trabajo de **Slack** operados por los atacantes. **Socket** señaló que estos mantenedores son responsables de paquetes con miles de millones de descargas semanales, lo que demuestra que los actores de amenazas se enfocaron en proyectos de alto impacto. "Desde que publicamos nuestro análisis inicial del compromiso de axios, una inmersión profunda en su radio de explosión oculto y un informe sobre el mantenedor que confirma que fue ingeniería social, los mantenedores de todo el ecosistema de Node.js han salido de la madera para informar que fueron blanco de la misma campaña de ingeniería social", explicó **Socket**. "Las cuentas ahora abarcan algunos de los paquetes más dependientes en el registro npm y el propio núcleo de Node.js, y juntos confirman que axios no fue un objetivo único. Fue parte de un patrón de ataque coordinado y escalable dirigido a mantenedores de código abierto de alta confianza y alto impacto." **Socket** dijo que la campaña siguió un patrón consistente, con los actores de amenazas haciendo contacto primero a través de plataformas como **LinkedIn** o **Slack** y luego invitando a los destinatarios a espacios de trabajo privados o semi-privados. Después de establecer una relación con el objetivo, los actores de amenazas programaron videollamadas, que en algunos casos se realizaron a través de sitios que se hacían pasar por **Microsoft Teams** y otras plataformas. Durante estas llamadas, se mostraría un mensaje de error a los objetivos, lo que les pedía que instalaran software de escritorio "nativo" que funcionara mejor o que ejecutaran comandos para solucionar los problemas técnicos. El mismo manual utilizado contra todos estos objetivos durante el mismo período de tiempo indica que esta fue una campaña coordinada en lugar de una serie de ataques únicos. Los investigadores de **Socket** dicen que estos tipos de ataques a la cadena de suministro son cada vez más comunes, y los atacantes ahora se centran en paquetes ampliamente utilizados para causar un impacto generalizado.