Le mainteneur du package npm **Axios** a confirmé un compromis de la chaîne d'approvisionnement résultant d'une attaque d'ingénierie sociale ciblée attribuée à des acteurs de la menace nord-coréens suivis sous le nom **UNC1069**. ### Une tromperie soigneusement élaborée **Jason Saayman**, le mainteneur, a déclaré que les attaquants avaient adapté leurs efforts spécifiquement à lui, se faisant passer initialement pour le fondateur d'une entreprise légitime. Ils ont cloné la ressemblance du fondateur et le branding de l'entreprise. « Ils avaient cloné la ressemblance des fondateurs de l'entreprise ainsi que l'entreprise elle-même », a déclaré Saayman dans un post-mortem. « Ils m'ont ensuite invité dans un véritable espace de travail Slack. Cet espace de travail était marqué au nom de l'identité visuelle de l'entreprise et nommé de manière plausible. L'espace [de travail] Slack était très bien pensé ; ils avaient des canaux où ils partageaient des publications LinkedIn. » ### Compromis via une fausse mise à jour Les attaquants ont programmé une réunion sur **Microsoft Teams**. Pendant l'appel, Saayman s'est vu présenter un faux message d'erreur indiquant un composant système obsolète. Le déclenchement de la mise à jour a conduit au déploiement d'un cheval de Troie d'accès à distance. Ce cheval de Troie a permis aux attaquants de voler les identifiants de compte npm, leur permettant de publier deux versions troyanisées du package npm Axios (1.14.1 et 0.30.4) contenant un implant nommé WAVESHAPER.V2. « Tout était extrêmement bien coordonné, semblait légitime et a été fait de manière professionnelle », a ajouté Saayman.  *Source : **Kaspersky*** ### Échos de campagnes passées La chaîne d'attaque présente des similitudes avec les tactiques associées à UNC1069 et BlueNoroff. Des campagnes précédentes, documentées par **Huntress** et Kaspersky (sous le nom de GhostCall), impliquaient l'affichage de faux messages d'erreur lors des appels et la demande aux utilisateurs de télécharger des SDK Zoom ou Teams malveillants via des pop-ups de type ClickFix. Ces actions ont conduit à l'exécution de scripts AppleScript (pour macOS) ou PowerShell (pour Windows). ### CosmicDoor et SilentSiphon Une charge utile malveillante déployée dans ces attaques est un backdoor macOS basé sur Nim (ou une variante Go pour Windows) appelé CosmicDoor. Ce backdoor distribue une suite complète de vol d'informations appelée SilentSiphon pour capturer les identifiants des navigateurs Web, des gestionnaires de mots de passe et les secrets liés à GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust argo et .NET NuGet. ### Paysage des menaces en évolution « Historiquement, [...] ces gars-là ont ciblé des fondateurs de crypto, des capital-risqueurs, des personnalités publiques », a déclaré la chercheuse en sécurité Taylor Monahan. « Ils les soumettent à de l'ingénierie sociale, prennent le contrôle de leurs comptes et ciblent la prochaine série de personnes. Cette évolution vers le ciblage [des mainteneurs OSS] est un peu préoccupante à mon avis. » ### Mesures d'atténuation Saayman a décrit plusieurs mesures préventives, notamment la réinitialisation de tous les appareils et identifiants, la mise en place de versions immuables, l'adoption du flux OIDC pour la publication et la mise à jour des GitHub Actions pour s'aligner sur les meilleures pratiques. ### Le risque croissant pour l'open source Ces conclusions soulignent la tendance croissante des attaques sophistiquées ciblant les mainteneurs de projets open source. En compromettant les mainteneurs, les attaquants peuvent cibler efficacement les utilisateurs en aval à grande échelle en publiant des versions empoisonnées de packages largement utilisés. Avec Axios attirant près de 100 millions de téléchargements hebdomadaires et étant fortement intégré dans l'écosystème JavaScript, l'impact potentiel d'une telle attaque de la chaîne d'approvisionnement est significatif, se propageant rapidement par le biais de dépendances directes et transitives. « Un package aussi largement utilisé qu'Axios étant compromis montre à quel point il est difficile de raisonner sur l'exposition dans un environnement JavaScript moderne », a déclaré Ahmad Nassri de **Socket**. « C'est une propriété de la façon dont la résolution des dépendances fonctionne dans l'écosystème aujourd'hui. »