Хакеры, связанные с КНДР, встроили вредоносный исходник в open-source библиотеку Axios

Google и независимые исследователи сообщили об атаке на open-source библиотеку Axios — известный модуль, который используется для связи приложений и веб-сервисов. По данным Reuters, за атакой стоит группа, которую Google отслеживает как UNC1069 и связывает с Северной Кореей.

Злоумышленники добавили вредоносный код в апдейт Axios, выпущенное в понедельник. Позже этот исходник удалили, но до этого он мог дать атакующим доступ к данным на компьютере, в том числе учётные данные. Такие credentials затем можно использовать для дальнейших атак, кражи данных и движения по инфраструктуре жертвы.

Исследователи называют инцидент supply chain attack — атакой на цепочку поставок. Смысл в том, что пользователю не нужно создавать ничего подозрительного: вредоносный исходник приходит через уже доверенный модуль, который используется в работе сервисов и приложений. В соответствии с заявлению исследователь SentinelOne Том Хегель, задача в том, что «софт, которому вы уже доверяете, делает это за атакующего».

Другие новости и материалы по AI — в Telegram-канале NH | Новости технологий, AI и будущее.

Axios — не громкий пользовательский продукт, а библиотека «за кадром», которая задействована во множестве повседневных сценариев. По словам исследователей, её потенциальный охват может измеряться миллионами окружений. Одновременно пока неясно, сколько именно заражённых обновлений успели инсталлировать.

Отдельно отмечается, что вредоносные версии были подготовлены сразу под macOS, Windows и Linux. Это делает инцидент особенно неприятным: речь идёт не о локальной ошибке в одном стеке, а о попытке максимально широко применять доверие к распространённому open-source компоненту.

Google связывает UNC1069 с операциями против криптовалютного и финансового сектора. По данным властей США, Северная Корея использует похищенные криптоактивы для финансирования своих программ и обхода санкций. На этом фоне атака на популярную библиотеку выглядит не как единичный эпизод, а как часть более широкой стратегии по компрометации чужой инфраструктуры через доверенные зависимости.