L’operazione non è stata improvvisata. Gli aggressori hanno portato avanti una campagna mirata per settimane, basata su tecniche avanzate di ingegneria sociale.

L’attacco cyber contro il software open source Axios, le cui presunte responsabilità sarebbero di hacker criminali nordcoreani ha evidenziato le crescenti vulnerabilità della comunità degli sviluppatori. Non si è trattato però di un’operazione lampo ma di una campagna di lungo periodo.

Secondo le ricostruzioni, l’operazione non è stata improvvisata. “Gli aggressori hanno portato avanti una campagna mirata durata settimane, basata su tecniche avanzate di ingegneria sociale“.

L’obiettivo, hanno sottolineato gli esperti cyber, “era conquistare la fiducia dello sviluppatore principale del progetto, Jason Saayman, per aumentare le probabilità di successo dell’attacco“.

Ingannare con un ambiente credibile

Lo stesso Saayman ha successivamente pubblicato un’analisi dettagliata dell’accaduto, spiegando che i primi tentativi di contatto risalgono a circa due settimane prima della compromissione (31 marzo). I cybercriminali, fingendosi una società reale, hanno costruito un ambiente credibile. “Un finto piano Slack apparentemente autentico e profili falsi di dipendenti per rafforzare la loro identità“.

Il passo decisivo è arrivato con l’invito a una riunione online. Per partecipare, Saayman ha ricevuto la richiesta di scaricare un aggiornamento software che in realtà nascondeva un malware. Questa tecnica, “già osservata in precedenti attacchi attribuiti alla Corea del Nord“, consente agli hacker di ottenere accesso remoto ai sistemi delle vittime, spesso con l’obiettivo di rubare criptovalute.

Una volta ottenuto il controllo del computer dello sviluppatore, gli aggressori hanno pubblicato versioni malevole del pacchetto Axios. Sebbene i due aggiornamenti compromessi siano stati rimossi entro circa tre ore dalla loro pubblicazione, si teme che in quel lasso di tempo migliaia di sistemi possano essere stati infettati.

I rischi per i progetti open source

Le conseguenze potenziali sono gravi. I dispositivi che hanno installato le versioni dannose potrebbero aver esposto chiavi private, credenziali e password, aprendo la porta a ulteriori violazioni.

Questo episodio evidenzia una problematica sempre più rilevante. I progetti open source, spesso mantenuti da piccoli gruppi o singoli sviluppatori, rappresentano bersagli altamente strategici. “Comprometterli significa poter raggiungere, indirettamente, milioni di utenti e dispositivi in tutto il mondo“.

Sono i crimini informatici una fonte di reddito per la Corea del Nord?

Con particolare riferimento agli hacker nordcoreani, questi sono oggi considerati tra le minacce più attive nel panorama cyber globale, in relazione al contributo al reddito nazionale con i furti di criptovalute.

“I gruppi di hacker criminali legati alla Corea del Nord hanno rubato più criptovalute di chiunque altro nel 2025. L’incasso totale si aggirerebbe sui 2 miliardi di dollari. Questa cifra ha rappresentato un aumento del 51% rispetto all’anno precedente. La fetta di asset digitali che hanno sottratto rappresenta il 60 per cento del totale dei furti a livello mondiale. Per una quota, pari a circa 3,4 miliardi di dollari nel 2025“.

Su tale materia, l’Avvenire ha riportato alcune stime di un gruppo di esperti delle Nazioni Unite. Secondo loro – nel periodo che va dal 2017 al 2023 – la Corea del Nord avrebbe sottratto “asset virtuali per un valore di 3 miliardi di dollari tramite 58 attacchi informatici su piattaforme di criptovaluta“.

L’obiettivo di queste operazioni cyber è spesso quello di ottenere risorse. Il tutto, sia per accrescere il bilancio statale che per aggirare le stesse sanzioni, finanziando il programma nucleare del Paese.

In questi termini, il Governo del Paese asiatico ha iniziato a sviluppare moderne capacità informatiche già a metà degli anni ’90. Da allora, esistono diversi corsi di formazione informatica presso le università di Pyongyang, all’interno di un sistema di “addestramento” che dura anni.

Investimenti sono arrivati anche nelle infrastrutture delle telecomunicazioni, sempre per massimizzare il suo potenziale informatico.

Vai al sito di Cybersecurity Italia.

L'articolo Axios, come i cybercriminali hanno organizzato l’attacco informatico creando un falso Slack sembra essere il primo su CyberSecurity Italia.