Fake-Teams-Update: So haben Angreifer den axios-Maintainer ausgetrickst
Der axios-Maintainer beschreibt, wie Cyberkriminelle den HTTP-Client mit Schadcode verseuchen konnten. Derweil gibt es ähnliche Attacken auf weitere Maintainer.
(Bild: Balefire / Shutterstock.com)
Der HTTP-Client axios war kurzzeitig mit einer Hintertür versehen und stand damit ausgerüstet für rund drei Stunden zum Download. Wie oft der Client in diesem Zeitraum heruntergeladen und installiert wurde, ist bislang unklar. Nun erklärt der Maintainer, wie das passieren konnte.
Am 30. März haben die Angreifer die mit Schadcode verseuchten Versionen 1.14.1 und 0.30.4 veröffentlicht. Mittlerweile hat der Entwickler wieder die Kontrolle und die Ausgaben sind offline. In einem Beitrag von Google Threat Intelligence finden sich Hinweise, an denen man bereits erfolgreich attackierte Systeme erkennen kann.
Klassischer Social-Engineering-Angriff
In seinem Post-Mortem-Bericht führt der axios-Maintainer aus, dass ihn die wahrscheinlich der nordkoreanischen Gruppe UNC1069 angehörigen Angreifer im Zuge einer Social-Engineering-Attacke ausgetrickst haben. Das Ganze sei extrem professionell und überzeugend abgelaufen.
Er gibt an, dass die Angreifer sich als Unternehmensgründer ausgegeben und ihn in einen Slack-Workspace eingeladen haben. Dort sah ihm zufolge alles äußerst überzeugend aus und es gab verschiedene Kanäle mit passenden Inhalten und glaubhaften Profilen.
Dann wurde er zu einem Teamsmeeting eingeladen. Währenddessen tauchte eine Fehlermeldung auf und er sollte ein Update installieren. Das war aber kein Teams-Update, sondern ein Trojaner zum Einsacken von Zugangsdaten. So konnten sie die npm-Zugangsdaten des Entwicklers kopieren und die Trojaner-Version von axios in Umlauf bringen.
Videos by heise
Nicht die einzige Attacke
Der axios-Entwickler ist aber nicht das einzige Opfer im Open-Source-Maintainer-Umfeld. Offensichtlich haben es die Cyberkriminellen auf weitere Pakte wie das Mocha-Framework abgesehen. Das berichtet der Maintainer auf Github.
Sicherheitsforschern von Socket zufolge handelt es sich dabei um größer angelegte Supply-Chain-Angriffe, die unter anderem auch Lodash, Fastify und Pino betreffen. Die betroffenen Tools werden wöchentlich milliardenfach heruntergeladen und bilden somit die perfekte Basis für eine weitreichende Supply-Chain-Attacken.
(des)
