Un hacker criminale della Corea del Nord avrebbe manomesso il progetto open source Axios, mettendo a rischio la sicurezza degli sviluppatori.

Il software open source Axios può servire per diffondere malware, secondo quanto è emerso da un recente caso di studio. Un hacker criminale, presumibilmente legato alla Corea del Nord, lo ha infatti dirottato e modificato, mettendo a rischio la sicurezza di milioni di sviluppatori.

La libreria JavaScript Axios compromessa si trovata su npm, un repository di software che archivia il codice dei progetti open source. I download di Axios su base settimanale raggiungono le decine di milioni.

In ogni caso, secondo gli analisti cyber che hanno studiato l’attacco, quest’ultimo è stato individuato e bloccato in circa tre ore nella notte tra lunedì e martedì.

La dinamica dell’attacco

L’hacker criminale è riuscito a introdurre codice dannoso all’interno di Axios compromettendo l’account di uno degli sviluppatori principali del progetto, autorizzato a pubblicare gli aggiornamenti. Avendo sostituito l’indirizzo e-mail dello sviluppatore legittimo con il proprio, ha reso più difficile per lo sviluppatore riottenere l’accesso.

Una volta ottenuto il controllo dell’account, il soggetto ha inserito un codice dannoso progettato per distribuire un trojan di accesso remoto, o RAT. Si tratta essenzialmente di un malware in grado di fornire agli hacker il controllo remoto completo del computer della vittima.

L’hacker ha quindi distribuito nuove versioni di Axios “sotto forma di un aggiornamento dall’aspetto legittimo per gli utenti di Windows, macOS e Linux“.

Secondo gli analisti cyber, gli hacker hanno anche progettato il malware, così come parte del codice utilizzato per distribuirlo. Il tutto, “in modo che si cancellasse automaticamente dopo l’installazione, nel tentativo di nascondersi dai motori anti-malware e dagli investigatori“.

Progetti open source a rischio

Quello che è accaduto con Axios non è un caso isolato. I cyber criminali prendono infatti sempre più di mira gli sviluppatori di progetti open source popolari nel tentativo di hackerare in massa chiunque si affidi al codice compromesso. In questo modo garantiscono potenzialmente agli hacker l’accesso a un numero enorme di dispositivi colpiti.

Questo tipo di violazioni su larga scala sono chiamate attacchi alla catena di approvvigionamento. Il motivo è che prendono di mira software che consentono di colpire chiunque abbia scaricato il componente compromesso.

Si pensi solo, negli ultimi anni, agli attacchi contro aziende come 3CX, Kaseya e SolarWinds, nonché strumenti open source come Log4j e Polyfill.io e proprio per colpire un gran numero dei loro utenti. Al momento comunque, ha sottolineato TechCrunch, “non è chiaro quante persone abbiano scaricato la versione dannosa di Axios in quel lasso di tempo“.

L’analisi del Threat Intelligence Group di Google

“Abbiamo attribuito l’attacco a un presunto attore di minaccia nordcoreano che monitoriamo con il nome di UNC1069”, ha dichiarato John Hultquist, capo analista del Threat Intelligence Group di Google. “Gli hacker nordcoreani hanno una profonda esperienza negli attacchi alla catena di approvvigionamento, che storicamente hanno utilizzato per rubare criptovalute“.

E ancora: “La portata complessiva di questo incidente cyber non è ancora chiara, ma data la popolarità del pacchetto compromesso. Ci aspettiamo che avrà un impatto di vasta portata”.

Vai al sito di Cybersecurity Italia.

L'articolo Axios, l’accusa: “Un hacker criminale nordcoreano ha hackerato il progetto open source per diffondere malware” sembra essere il primo su CyberSecurity Italia.