Se sospecha que un actor de amenazas norcoreano llevó a cabo un importante ataque a la cadena de suministro contra la biblioteca JavaScript Axios. Axios, que se descarga más de 100 millones de veces cada semana, vio comprometida su cuenta de administrador de paquetes de nodos, lo que permitió la introducción de una dependencia maliciosa llamada Plain-crypto-js.
Las versiones comprometidas de la dependencia se eliminaron en cuestión de horas. Sin embargo, la adopción generalizada de Axios genera preocupación de que muchos usuarios hayan descargado la versión envenenada. Los investigadores del Google Threat Intelligence Group (GTIG) identificaron la dependencia maliciosa como un gotero ofuscado que instala una puerta trasera llamada Waveshaper.v2 en entornos Windows, Linux y Mac.
GTIG atribuye el ataque a un grupo conocido como UNC1069, que ha estado operativo desde al menos 2018. Se informa que Waveshaper.v2 es una versión más nueva de una puerta trasera previamente asociada con el mismo grupo. Además, Sophos ha vinculado este ataque a un hacker radicado en Corea del Norte conocido como Nickel Gladstone.
“Los piratas informáticos norcoreanos tienen una amplia experiencia en ataques a la cadena de suministro, que históricamente han utilizado para robar criptomonedas”, dijo John Hultquist, analista jefe de GTIG. Hizo hincapié en el potencial de importantes repercusiones debido a la popularidad del paquete comprometido.
Austin Larsen, analista principal de amenazas de GTIG, advirtió que cualquiera que haya descargado [email protected] o [email protected] puede haber ejecutado sin darse cuenta una carga útil de puerta trasera. Esta advertencia apareció en una publicación de LinkedIn luego de la detección inicial del incidente.
Step Security, que descubrió el ataque, lo describió como un compromiso planificado. La dependencia maliciosa se organizó 18 horas antes de su implementación un lunes, y ambas ramas de lanzamiento de Axios se envenenaron con 39 minutos de diferencia entre sí.
Inicialmente, el atacante comprometió la cuenta npm del mantenedor principal jasonsaayman, alterando el correo electrónico registrado a una dirección de ProtonMail controlada por el atacante. Step Security reveló que los artefactos maliciosos estaban configurados para autodestruirse, lo que generó preocupación sobre la sofisticación del incidente.
Los investigadores caracterizaron este ataque como uno de los “ataques a la cadena de suministro más sofisticados desde el punto de vista operativo jamás documentados” contra un paquete npm líder. John Hammond de Huntress expresó su preocupación por los posibles efectos posteriores en varias organizaciones que dependen de Axios.
“Los efectos completos son dinámicos y aún se están descubriendo, ya que cualquier organización que utilice software Node.js o JavaScript podría confiar en el componente Axios comprometido”, afirmó Hammond.
Este incidente es parte de una tendencia reciente de ataques a la cadena de suministro, con otros objetivos incluido Trivy, una herramienta de código abierto de Aqua Security, que también fue comprometida por un actor de amenazas diferente llamado TeamPCB.
Charles Carmakal, director de tecnología de Mandiant Consulting, señaló que los recientes ataques a la cadena de suministro han resultado en miles de credenciales robadas, advirtiendo sobre amenazas inminentes como nuevos compromisos de SaaS, ransomware y robos de criptomonedas.
