Coreea de Nord a păcălit maintainer-ul Axios și a injectat cod malițios într-unul dintre cele mai folosite proiecte open source de pe internet

Un atac cibernetic atribuit Coreei de Nord, care lunea trecută a compromis temporar unul dintre cele mai utilizate proiecte open source de pe internet, a durat săptămâni pentru a fi pus în aplicare, făcând parte dintr-o campanie de lungă durată menită să vizeze principalii dezvoltatori ai codului.

Compromiterea proiectului Axios, la 31 martie, a reușit parțial deoarece hackerii, bine finanțați și organizați, au construit în timp o relație de încredere cu ținta lor principală, pentru a-și spori șansele unei breșe reușite. Acest tip de atac scoate în evidență provocările majore de securitate cu care se confruntă dezvoltatorii de proiecte open source populare, într-un moment în care atât atacatorii statali, cât și infractorii cibernetici se concentrează asupra acestor proiecte pentru capacitatea lor de a oferi acces, în unele cazuri, la milioane de dispozitive din întreaga lume.

Jason Saayman, maintainer-ul proiectului Axios, utilizat pe scară largă de dezvoltatori pentru a conecta aplicațiile lor la internet, a oferit o analiză detaliată a incidentului, cu o cronologie a atacului. El a dezvăluit că hackerii au început campania de țintire cu aproximativ două săptămâni înainte de a reuși să preia controlul asupra computerului său, moment din care au putut să distribuie cod malițios.

Pretinzând că reprezintă o companie reală, creând un spațiu de lucru Slack cu aspect autentic și folosind profiluri false de angajați pentru a-și consolida credibilitatea, Saayman spune că suspecții hackeri nord-coreeni l-au invitat ulterior la o întâlnire online. În timpul acesteia, el a fost determinat să descarce un fișier malițios care se prezenta drept o actualizare necesară pentru a accesa apelul. Potrivit lui Saayman, această momeală a copiat o tehnică folosită anterior de hackeri nord-coreeni, care își păcălesc victimele să le acorde acces de la distanță la sistemul lor, adesea pentru a le fura criptomonedele.

Saayman a subliniat că acest atac a reprodus modele de compromitere atribuite anterior Coreei de Nord de către cercetători în securitate de la Google. După ce au compromis sistemul și au obținut acces remote la computerul lui Saayman, atacatorii au publicat actualizări malițioase în cadrul proiectului Axios.

Cele două pachete Axios compromise, retrase la aproximativ trei ore după ce au fost publicate pe 31 martie, ar fi putut totuși să infecteze mii de sisteme în acel interval scurt. Încă nu este clară pe deplin amploarea acestei campanii masive de hacking. Orice computer care a instalat în această perioadă o versiune malițioasă a software-ului ar fi putut permite atacatorilor să le fure cheile private, datele de autentificare și parolele, lucru ce poate duce la noi breșe și compromisuri succesive.

Saayman nu a răspuns imediat la un e-mail în care i se cereau detalii suplimentare despre incident. Intre timp, experții subliniază că hackerii nord-coreeni rămân printre cele mai active și persistente amenințări cibernetice la nivel global, fiind acuzați de furtul a cel puțin 2 miliarde de dolari în criptomonede doar în 2025.

Regimul lui Kim Jong Un se află sub sancțiuni internaționale și este exclus din rețeaua financiară globală din cauza încălcării interdicției privind programul său de dezvoltare a armelor nucleare. În mare măsură, țara își finanțează acest program prin lansarea de atacuri cibernetice și furt de criptomonede, transformând spațiul digital într-o sursă importantă de resurse.

Se crede că Coreea de Nord dispune de mii de hackeri extrem de organizați, mulți dintre ei lucrând împotriva voinței lor, sub presiunea regimului. Acești atacatori investesc săptămâni sau chiar luni în operatiuni complexe de inginerie socială, construind încredere, câștigând acces la sisteme critice și, în final, furând criptomonede și date sensibile pentru a-și șantaja și extorca victimele.