Google, haftada yaklaşık 100 milyon kez indirilen popüler JavaScript kütüphanesi Axios’a yönelik tedarik zinciri saldırısının arkasında, 2018’den beri faaliyet gösteren Kuzey Kore bağlantılı UNC1069 adlı bilgisayar korsanı grubunun olduğunu tespit etti.
31 Mart’ta gerçekleştirilen ve WAVESHAPER.V2 adlı uzaktan erişim trojanını (RAT) dağıtmayı hedefleyen bu saldırıda, Windows, macOS ve Linux sistemlerini hedef alan çapraz platformlu zararlı yazılımlar kullanıldı.
Geliştirici hesabı ele geçirildi
Saldırganlar, Axios’un ana kaynak kodunu değiştirmek yerine baş geliştirici Jason Saayman’ın hesabını ele geçirip bağlı e-posta adresini değiştirerek sisteme sızdı.
Yalnızca kurulum sırasında otomatik çalışan (postinstall) “plain-crypto-js” adlı gizli bir bağımlılık ekleyen korsanlar, zararlı sürümlerin (1.14.1 ve 0.30.4) yüklenmesinin ardından kendi izlerini silerek tespit edilmeyi zorlaştırdı.
Bulut ortamlarının yüzde 80’inde kullanılan Axios’taki bu açık birkaç saat içinde fark edilip npm’den kaldırılsa da; güvenlik uzmanları, etkilenen sistemlerdeki bulut erişim anahtarları, veritabanı parolaları ve API token’ları gibi tüm hassas kimlik bilgilerinin acilen yenilenmesi (rotate edilmesi) gerektiği konusunda uyarıyor.
