Une attaque majeure de la chaîne d’approvisionnement contre la bibliothèque JavaScript Axios est soupçonnée d’être menée par un acteur menaçant nord-coréen. Axios, qui est téléchargé plus de 100 millions de fois chaque semaine, a vu son compte de gestionnaire de packages de nœuds compromis, permettant l’introduction d’une dépendance malveillante nommée plain-crypto-js.
Les versions compromises de la dépendance ont été supprimées en quelques heures. Cependant, l’adoption massive d’Axios fait craindre que de nombreux utilisateurs aient téléchargé la version empoisonnée. Les chercheurs du Google Threat Intelligence Group (GTIG) ont identifié la dépendance malveillante comme un compte-gouttes obscurci qui installe une porte dérobée appelée Waveshaper.v2 sur les environnements Windows, Linux et Mac.
GTIG attribue l’attaque à un groupe connu sous le nom d’UNC1069, opérationnel depuis au moins 2018. Waveshaper.v2 est signalé comme une version plus récente d’une porte dérobée précédemment associée au même groupe. De plus, Sophos a lié cette attaque à un hacker nord-coréen connu sous le nom de Nickel Gladstone.
“Les pirates nord-coréens ont une vaste expérience des attaques contre la chaîne d’approvisionnement, qu’ils ont historiquement utilisées pour voler des cryptomonnaies”, a déclaré John Hultquist, analyste en chef chez GTIG. Il a souligné le potentiel de répercussions importantes dues à la popularité du paquet compromis.
Austin Larsen, analyste principal des menaces chez GTIG, a averti que toute personne ayant téléchargé [email protected] ou [email protected] pourrait avoir exécuté par inadvertance une charge utile de porte dérobée. Cet avertissement est apparu dans une publication sur LinkedIn suite à la détection initiale de l’incident.
Step Security, qui a découvert l’attaque, l’a décrite comme une compromission planifiée. La dépendance malveillante a été mise en place 18 heures avant son déploiement un lundi, les deux branches de version d’Axios étant empoisonnées à 39 minutes d’intervalle.
L’attaquant a initialement compromis le compte npm du responsable principal Jasonsaayman, en modifiant l’e-mail enregistré en une adresse ProtonMail contrôlée par l’attaquant. Step Security a révélé que les artefacts malveillants étaient destinés à s’autodétruire, ce qui a suscité des inquiétudes quant à la sophistication de l’incident.
Les chercheurs ont qualifié cette attaque de « l’une des attaques de chaîne d’approvisionnement les plus sophistiquées jamais documentées sur le plan opérationnel » contre un package NPM de premier plan. John Hammond de Huntress a exprimé son inquiétude quant aux effets potentiels en aval sur diverses organisations s’appuyant sur Axios.
“Les effets complets sont dynamiques et encore en cours de découverte, car toute organisation utilisant un logiciel Node.js ou JavaScript pourrait s’appuyer sur le composant Axios compromis”, a déclaré Hammond.
Cet incident fait partie d’une tendance récente d’attaques de la chaîne d’approvisionnement, avec d’autres cibles, notamment Trivy, un outil open source d’Aqua Security, qui a également été compromis par un autre acteur malveillant nommé TeamPCB.
Charles Carmakal, CTO chez Mandiant Consulting, a noté que les récentes attaques de la chaîne d’approvisionnement ont entraîné le vol de milliers d’informations d’identification, mettant en garde contre des menaces imminentes telles que de nouvelles compromissions SaaS, des ransomwares et des braquages de cryptographie.
