Les mainteneurs du populaire client HTTP **Axios** ont publié un post-mortem détaillé décrivant comment l'un de ses développeurs a été ciblé par une campagne d'ingénierie sociale liée à des pirates nord-coréens. Ceci fait suite à la compromission d'un compte mainteneur par les acteurs de la menace pour publier deux versions malveillantes d'**Axios** (1.14.1 et 0.30.4) sur le registre de packages npm, déclenchant une attaque de la chaîne d'approvisionnement. Ces versions ont injecté une dépendance nommée `plain-crypto-js` qui a installé un cheval de Troie d'accès à distance (RAT) sur les systèmes macOS, Windows et Linux. Les versions malveillantes ont été disponibles pendant environ trois heures avant d'être supprimées, mais les systèmes qui les ont installées pendant cette période doivent être considérés comme compromis, et tous les identifiants et clés d'authentification doivent être réinitialisés. Les mainteneurs d'**Axios** ont déclaré avoir nettoyé les systèmes affectés, réinitialisé tous les identifiants et mis en œuvre des changements pour prévenir des incidents similaires. Le **Google** Threat Intelligence Group a depuis lié cette attaque à des acteurs de la menace nord-coréens suivis sous le nom **UNC1069**. "GTIG attribue cette activité à UNC1069, un acteur de la menace lié à la Corée du Nord et motivé par des gains financiers, actif depuis au moins 2018, sur la base de l'utilisation de WAVESHAPER.V2, une version mise à jour de WAVESHAPER précédemment utilisée par cet acteur de la menace", explique **Google**. "De plus, l'analyse des artefacts d'infrastructure utilisés dans cette attaque montre des chevauchements avec l'infrastructure utilisée par UNC1069 dans des activités passées." ## Ciblé dans une attaque d'ingénierie sociale Selon un post-mortem, le compromis a commencé des semaines plus tôt par une attaque d'ingénierie sociale ciblée sur le mainteneur principal du projet, Jason Saayman. Les attaquants se sont fait passer pour une entreprise légitime, ont cloné son image de marque et les traits de ses fondateurs, et ont invité le mainteneur dans un espace de travail **Slack** conçu pour usurper l'identité de l'entreprise. Saayman affirme que le serveur **Slack** contenait des canaux réalistes, avec une activité mise en scène et de faux profils se faisant passer pour des employés et d'autres mainteneurs open-source. "Ils m'ont ensuite invité dans un vrai espace de travail Slack. cet espace de travail était marqué aux couleurs de la CI de l'entreprise et nommé de manière plausible", a expliqué Saayman dans un post sur le post-mortem. "Le Slack était très bien pensé, ils avaient des canaux où ils partageaient des posts LinkedIn, les posts LinkedIn allaient je suppose juste au compte réel de l'entreprise mais c'était super convaincant etc. ils avaient même ce qui étaient je suppose de faux profils de l'équipe de l'entreprise mais aussi un certain nombre d'autres mainteneurs oss." Les attaquants ont ensuite programmé une réunion sur **Microsoft Teams** qui semblait inclure de nombreuses personnes. Pendant l'appel, une erreur technique a été affichée, affirmant que quelque chose sur le système était obsolète, incitant le mainteneur à installer une mise à jour **Teams** pour corriger l'erreur. Cependant, cette fausse mise à jour était en réalité un malware RAT qui a donné aux acteurs de la menace un accès à distance à l'appareil du mainteneur, leur permettant d'obtenir les identifiants npm pour le projet **Axios**. D'autres mainteneurs ont signalé des attaques d'ingénierie sociale similaires, où les acteurs de la menace ont tenté de les inciter à installer une fausse mise à jour du SDK **Microsoft Teams**. Cette attaque est similaire à une attaque ClickFix, dans laquelle les victimes se voient présenter un faux message d'erreur, puis sont invitées à suivre des étapes de dépannage qui déploient des malwares. Cette attaque reflète également des campagnes précédentes signalées par les équipes de renseignement sur les menaces de **Google**, dans lesquelles des acteurs de la menace nord-coréens suivis sous le nom **UNC1069** ont utilisé les mêmes tactiques pour cibler des entreprises de cryptomonnaies. Dans des campagnes précédentes attribuées à l'acteur de la menace **UNC1069**, les acteurs de la menace déployaient des charges utiles supplémentaires sur les appareils, tels que des backdoors, des downloaders et des infostealers conçus pour voler des identifiants, des données de navigateur, des jetons de session et d'autres informations sensibles. Étant donné que les attaquants ont obtenu l'accès à des sessions authentifiées, les protections MFA ont été effectivement contournées, permettant l'accès aux comptes sans avoir à se réauthentifier. Les mainteneurs d'**Axios** ont confirmé que l'attaque n'impliquait pas la modification du code source du projet, mais reposait plutôt sur l'injection d'une dépendance malveillante dans des versions autrement légitimes. Pelle Wessman, mainteneur de nombreux projets open-source, y compris le populaire framework **Mocha**, a publié sur **LinkedIn** qu'il avait été ciblé dans la même campagne et a partagé une capture d'écran d'un faux message d'erreur de connexion RTC utilisé pour piéger les cibles et les inciter à installer des malwares.  Lorsque Wessman a refusé d'installer l'application, les acteurs de la menace ont tenté de le convaincre d'exécuter une commande Curl. "Quand il est devenu clair que je n'allais pas exécuter l'application et que nous avions discuté par la suite sur le site web et l'application de chat, ils ont fait une dernière tentative désespérée et ont essayé de me faire exécuter une commande curl qui téléchargerait et exécuterait quelque chose, puis quand j'ai refusé, ils ont disparu et ont supprimé toutes les conversations", a expliqué Wessman. La société de cybersécurité **Socket** a également signalé qu'il s'agissait d'une campagne coordonnée qui a commencé à cibler les mainteneurs de projets Node.js populaires. Plusieurs développeurs, y compris des mainteneurs de packages largement utilisés et des contributeurs principaux de Node.js, ont signalé avoir reçu des messages de contact similaires et des invitations à des espaces de travail **Slack** gérés par les attaquants. **Socket** a noté que ces mainteneurs sont responsables de packages avec des milliards de téléchargements hebdomadaires, démontrant que les acteurs de la menace se sont concentrés sur des projets à fort impact. "Depuis que nous avons publié notre analyse initiale du compromis d'axios, une analyse approfondie de son rayon d'impact caché, et un rapport sur le mainteneur confirmant qu'il s'agissait d'ingénierie sociale, des mainteneurs de tout l'écosystème Node.js sont sortis de l'ombre pour signaler qu'ils avaient été ciblés par la même campagne d'ingénierie sociale", a expliqué **Socket**. "Les comptes couvrent désormais certains des packages les plus largement dépendants du registre npm et du cœur de Node.js lui-même, et ensemble, ils confirment qu'axios n'était pas une cible unique. Il faisait partie d'un modèle d'attaque coordonné et évolutif visant des mainteneurs open-source de haute confiance et à fort impact." **Socket** a déclaré que la campagne suivait un schéma constant, les acteurs de la menace prenant d'abord contact via des plateformes comme **LinkedIn** ou **Slack**, puis invitant les destinataires dans des espaces de travail privés ou semi-privés. Après avoir établi une relation avec la cible, les acteurs de la menace programmaient des appels vidéo, qui dans certains cas étaient menés via des sites usurpant l'identité de **Microsoft Teams** et d'autres plateformes. Lors de ces appels, un message d'erreur était affiché aux cibles, les incitant à installer un logiciel de bureau "natif" qui fonctionne mieux ou à exécuter des commandes pour résoudre les problèmes techniques. Le même playbook utilisé contre toutes ces cibles pendant la même période indique qu'il s'agissait d'une campagne coordonnée plutôt que d'une série d'attaques ponctuelles. Les chercheurs de **Socket** affirment que ces types d'attaques de la chaîne d'approvisionnement deviennent plus courants, les attaquants se concentrant désormais sur les packages largement utilisés pour causer un impact généralisé.