据SecurityWeek 4月1日报道,Axios在NPM(Node Package Manager)上的软件包遭到篡改,朝鲜关联黑客借此发起供应链攻击,导致恶意版本在短时间内被分发数百万次。
Google Threat Intelligence Group将此次攻击的幕后组织指向UNC1069。该组织过去主要针对加密货币和去中心化金融企业发动攻击。
Axios是一款用于在Node.js和浏览器环境中处理异步API请求的HTTP客户端库,每周下载量超过1亿次,长期位居NPM下载榜前列,并被广泛用于云环境和开发环境。
此次攻击始于3月31日零点后不久。攻击者向NPM注册表上传了植入后门的Axios 1.14.1和0.30.4两个版本。相关版本可在Windows、macOS和Linux平台上无需用户额外操作即自动运行恶意代码,并在发布约3小时后被下架。
云安全公司Wiz的数据显示,在上述时间窗口内,约3%的Axios用户下载了相关版本。SecurityWeek补充称,攻击者是通过劫持Axios主要维护者账号“@jasonsaayman”实施此次攻击的。
Google Threat Intelligence Group高级分析师John Hultquist警告称,考虑到Axios的使用规模,此次事件可能带来“广泛影响”。
记者信息
Chi-gyu Hwang
delight@d-today.co.kr