O **Google** atribuiu formalmente o comprometimento da cadeia de suprimentos do popular pacote npm Axios a um cluster de atividade de ameaças norte-coreanas com motivação financeira rastreado como **UNC1069**. "Atribuímos o ataque a um suspeito ator de ameaças norte-coreano que rastreamos como UNC1069", disse John Hultquist, analista-chefe do **Google** Threat Intelligence Group (GTIG), ao The Hacker News em um comunicado. "Hackers norte-coreanos têm vasta experiência com ataques à cadeia de suprimentos, que historicamente usaram para roubar criptomoedas. A extensão total deste incidente ainda não está clara, mas dada a popularidade do pacote comprometido, esperamos que tenha impactos de longo alcance." ### Detalhes do Ataque A descoberta ocorre após atores de ameaças assumirem o controle da conta npm do mantenedor do pacote para enviar duas versões trojanizadas, 1.14.1 e 0.30.4, que introduziram uma dependência maliciosa chamada "plain-crypto-js", usada para entregar um backdoor multiplataforma capaz de infectar sistemas Windows, macOS e Linux. Em vez de introduzir quaisquer alterações de código no Axios, o ataque utiliza um hook pós-instalação no arquivo "package.json" da dependência maliciosa para obter execução furtiva. Assim que o pacote Axios comprometido é instalado, o npm aciona automaticamente a execução do código malicioso em segundo plano. Especificamente, o pacote "plain-crypto-js" funciona como um "veículo de entrega de payload" para um dropper JavaScript ofuscado chamado SILKBELL ("setup.js"), que busca o próximo estágio apropriado de um servidor remoto com base no sistema operacional da vítima. Conforme detalhado anteriormente, o ramo de execução do Windows entrega malware PowerShell, um binário C++ Mach-O para macOS e um backdoor Python para sistemas Linux. O dropper também realiza uma limpeza para se remover e substituir o arquivo "package.json" do pacote "plain-crypto-js" por uma versão limpa que não possui o hook pós-instalação. <table><tbody><tr><td><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi-INPXY0ZSI_LBYJhbmZyqamH1PQlfh5ZfryzZIPg0Nn_ojjuKO1XO2RHZn7PZfkSw_jIew5EJoEHmrcJD3P3a-KG1Q5C5ofTMzfU28IE_Jha5sGl8E1XRJRorEQZidf-i9QKCt7FP96GFKrl2aYRqghFIjzz3ihMXw9cuFRhVXgmuMbjOIF5vClUOsLTu/s1600/elastic.jpeg"><img src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi-INPXY0ZSI_LBYJhbmZyqamH1PQlfh5ZfryzZIPg0Nn_ojjuKO1XO2RHZn7PZfkSw_jIew5EJoEHmrcJD3P3a-KG1Q5C5ofTMzfU28IE_Jha5sGl8E1XRJRorEQZidf-i9QKCt7FP96GFKrl2aYRqghFIjzz3ihMXw9cuFRhVXgmuMbjOIF5vClUOsLTu/s1600/elastic.jpeg" data-original-width="1864" data-original-height="1168" alt=""></a></td></tr><tr><td>Fonte da Imagem: **Elastic** Security Labs</td></tr></tbody></table> ### Backdoor WAVESHAPER.V2 O backdoor, codinome WAVESHAPER.V2, é avaliado como uma versão atualizada do WAVESHAPER, um backdoor C++ implantado pelo **UNC1069** em ataques direcionados ao setor de criptomoedas. O ator de ameaças está operacional desde 2018. As ligações do ataque à cadeia de suprimentos com o **UNC1069** foram sinalizadas pela primeira vez pela **Elastic** Security Labs, citando sobreposições de funcionalidade. As três variantes do WAVESHAPER.V2 suportam quatro comandos diferentes, enquanto fazem beaconing para o servidor de comando e controle (C2) em intervalos de 60 segundos: * **kill**, para encerrar o processo de execução do malware. * **rundir**, para listar diretórios, juntamente com caminhos de arquivos, tamanhos e timestamps de criação/modificação. * **runscript**, para executar comandos AppleScript, PowerShell ou shell com base no sistema operacional. * **peinject**, para decodificar e executar binários arbitrários. "WAVESHAPER.V2 é uma evolução direta do WAVESHAPER, um backdoor macOS e Linux previamente atribuído ao UNC1069", disseram **Mandiant** e GTIG. "Enquanto o WAVESHAPER original usa um protocolo C2 binário leve e bruto e emprega empacotamento de código, o WAVESHAPER.V2 se comunica usando JSON, coleta informações adicionais do sistema e suporta mais comandos de backdoor." "Apesar dessas atualizações, ambas as versões aceitam sua URL C2 dinamicamente via argumentos de linha de comando, compartilham comportamentos de polling C2 idênticos e uma string de User-Agent incomum, e implantam payloads secundários em diretórios temporários idênticos (por exemplo, /Library/Caches/com.apple.act.mond)." ### Atribuição Norte-Coreana As ligações com a Coreia do Norte também são reforçadas pelo fato de o binário macOS referenciar caminhos de build de desenvolvedor como "Jain_DEV/client_mac/macWebT/macWebT", onde "macWebT" se liga diretamente ao módulo "webT" da **BlueNoroff** de campanhas de malware RustBucket e Hidden Risk em 2023, de acordo com o pesquisador Giuseppe Massaro. ### Mitigação Para mitigar a ameaça, os usuários são aconselhados a auditar árvores de dependência em busca de versões comprometidas (e fazer downgrade para uma versão segura, se encontrada), fixar o Axios em uma versão conhecida e segura no arquivo "package-lock.json" para evitar atualizações acidentais, verificar a presença de "plain-crypto-js" em "node_modules", encerrar processos maliciosos, bloquear o domínio C2 ("sfrclak[.]com," endereço IP: 142.11.206[.]73), isolar sistemas afetados e rotacionar todas as credenciais. "O ataque ao Axios deve ser entendido como um modelo, não um evento único. O nível de sofisticação operacional documentado aqui, incluindo credenciais de mantenedor comprometidas, payloads pré-carregados construídos para três sistemas operacionais, ambos os ramos de lançamento atingidos em menos de 40 minutos e autodestruição forense embutida, reflete um ator de ameaças que planejou isso como uma operação escalável", disse Tomislav Peričin, arquiteto-chefe de software da ReversingLabs, ao The Hacker News. "Se esta campanha agora aparecer no PyPI e NuGet, isso é consistente com o que a mecânica do ataque já sugere: o objetivo era o alcance máximo do desenvolvedor. As organizações precisam auditar não apenas suas dependências npm, mas todos os gerenciadores de pacotes que alimentam seus pipelines de build, e tratar quaisquer segredos expostos em ambientes afetados como comprometidos, independentemente do registro que tocaram."