Невідомо, наскільки поширені збитки від нещодавньої атаки на axios, пов’язаної з шкідливим програмним забезпеченням з Північної Кореї, Microsoft Teams, Slack та тижнями підготовки.
Минув приблизно тиждень відтоді, як підозрювані хакери з Північної Кореї тимчасово скомпрометували axios – одну з найпопулярніших у світі бібліотек HTTP-клієнтів JavaScript. Тепер з’являється більше деталей про те, як було здійснено злам, і чому ця інформація є актуальною для користувачів Windows, macOS та Linux.
Початковий злам стався, коли зловмисники змогли отримати доступ до основного облікового запису розробника axios Джейсона Саймана. Це дозволило опублікувати дві шкідливі версії axios до npm (великого публічного реєстру інструментів, доступних для завантаження) 30 березня 2026 року.
Стаття продовжується нижче
Це не було випадковістю. Це була точність.
Незважаючи на відносно швидкі дії для видалення скомпрометованих версій, axios зазвичай завантажується понад 100 мільйонів разів щотижня. Це ускладнює визначення точної кількості користувачів, які завантажили троян віддаленого доступу (RAT).
Сайман пояснює повний компроміс ланцюга постачання axios у своєму пості-аналізі, опублікованому на GitHub, включаючи кроки, які ви можете вжити, щоб переконатися, що ваша машина (незалежно від того, чи це Windows, macOS, чи Linux) не була скомпрометована. Я наполегливо рекомендую ознайомитися з ними, якщо ви працюєте з axios, оскільки RAT може викрадати конфіденційні облікові дані з вашої системи.
Як Microsoft Teams та Slack пов’язані з хронологією атаки на axios?
TechCrunch, спілкуючись з Google, виявив зв’язок з Північною Кореєю. Атака була приписана UNC1069 – “фінансово мотивованому суб’єкту загрози”, який вдається до таких схем “принаймні з 2018 року”.
Північнокорейські хакери мають глибокий досвід у проведенні атак на ланцюги постачання, які вони історично використовували для крадіжки криптовалюти. Повна глибина цього інциденту все ще незрозуміла, але враховуючи популярність скомпрометованого пакету, ми очікуємо, що він матиме далекосяжні наслідки.
Ось де історія набуває справжнього розмаху. За словами Саймана, хронологія атаки почалася приблизно за два тижні до 31 березня, коли “була розпочата кампанія соціальної інженерії проти провідного розробника”.
Сайман надає більше деталей у коментарях до посту-аналізу. Він пояснює, що зловмисники “зв’язалися, видаючи себе за засновника компанії”, попередньо скопіювавши його образ та інформацію про компанію.
Потім Саймана запросили до робочої області Slack з відповідним брендингом компанії, фейковими публікаціями в LinkedIn та підробленими профілями команди. Після планування зустрічі з Сайманом у Microsoft Teams, фальшиве “відсутнє оновлення” вимагало невеликої інсталяції.
Саме тоді RAT було завантажено на ПК розробника. Teams не був скомпрометований; він був лише імітований і використаний як засіб доставки трояна.
Як зазначає Сайман, “Все було надзвичайно добре скоординовано, виглядало правдоподібно і робилося професійно”. Це складний момент, і слід співчувати будь-кому, кого обманули такою ретельною схемою.
Axios зараз розслідує витік та шляхи запобігання подібним інцидентам у майбутньому.
Приєднуйтесь до нас на Reddit у r/WindowsCentral, щоб поділитися своїми думками та обговорити останні новини, огляди та багато іншого.
Що це означає для користувачів: Цей інцидент підкреслює ризики, пов’язані з програмним забезпеченням з відкритим кодом та ланцюгами постачання. Навіть якщо ви не використовуєте безпосередньо бібліотеку axios, вона може бути частиною програм, які ви використовуєте щодня. Атаки, що імітують професійні комунікації через такі платформи, як Microsoft Teams та Slack, можуть вплинути на будь-кого, хто залежить від розробки програмного забезпечення. Користувачам слід бути уважними до підозрілих оновлень або запитів на встановлення, навіть якщо вони надходять з, здавалося б, надійних джерел.
За даними порталу: www.windowscentral.com