Ataques contínuos à cadeia de suprimentos

O grupo UNC1069, que foi ligado a operações norte-coreanas, realizou um ataque à popular biblioteca JavaScript Axios. Esta biblioteca é usada em milhares de projetos e tem dezenas de milhões de downloads semanais via npm.

Os atacantes visaram especificamente um mantenedor do Axios e executaram uma campanha de engenharia social em várias etapas. Eles se passaram por funcionários de uma empresa bem conhecida, replicaram totalmente sua marca e até criaram um espaço de trabalho Slack convincente com atividade e conteúdo realistas. A vítima foi então convidada para uma reunião no Microsoft Teams. Durante a chamada, os atacantes demonstraram um problema falso no sistema e sugeriram uma "atualização". Assim que o usuário o lançou, um RAT foi instalado no dispositivo, fornecendo acesso remoto.

Depois de obter acesso à conta, os atacantes: 🟠roubaram credenciais do npm; 🟠publicaram versões comprometidas do Axios; 🟠incorporaram um componente malicioso, WAVESHAPER.V2, um backdoor multiplataforma.

Este backdoor permite aos atacantes executar comandos no sistema, coletar dados e arquivos e implantar cargas úteis adicionais.

💬 Discutir