Google pripisao napad na axios npm paket severnokorejskoj grupi UNC1069
Google je pripisao kompromitaciju axios npm paketa akteru UNC1069, grupi za koju se veruje da je povezana sa Severnom Korejom. Napad je izveden preuzimanjem npm naloga održavaoca i objavom zaraženih verzija koje su uvodile zlonamernu zavisnost plain-crypto-js, kroz koju se isporučivao višestepeni backdoor za Windows, macOS i Linux. Tekst navodi da je kampanja bila pažljivo pripremljena, sa unapred spremnim payloadovima, brzom kompromitacijom više grana izdanja i mehanizmima za prikrivanje tragova.
Ovde problem nije samo jedan zaražen paket, već to što kompromitacija ulazi pravo u razvojni lanac i širi se preko poverenja koje timovi imaju u popularne biblioteke. Kada je pogođena komponenta koju koristi ogroman broj projekata, posledice se ne mere samo brojem direktnih instalacija, već i svim nizvodnim okruženjima, tajnama i build procesima koji su mogli biti izloženi.
- Proveriti da li su u okruženju korišćene kompromitovane axios verzije i odmah preći na bezbednu verziju
- Pregledati dependency tree i prisustvo plain-crypto-js paketa u node_modules okruženju
- Blokirati poznate C2 indikatore i izolovati sisteme koji su mogli povući zaraženi paket
- Rotirati kredencijale, tokene i druge tajne dostupne iz pogođenih developerskih i CI okruženja
- Zaključati verzije paketa i pojačati proveru integriteta kroz ceo softverski lanac snabdevanja