Хитрый план хакеров: как северокорейцы взломали Windows через Teams и Slack

Привет! Давайте разберемся, что происходит в мире кибербезопасности. Недавно произошла довольно хитрая история с взломом, и я хочу вам о ней рассказать.

Хакеры из Северной Кореи провернули хитрую схему с использованием Microsoft Teams и Slack, чтобы взломать Windows-компьютеры.

Эта атака не была случайной, это была настоящая операция с четким планом. Представьте себе, что злоумышленники не просто пытаются пробраться к вам, а долго и тщательно готовятся, чтобы обойти все ваши защиты.

Все началось с того, что хакеры из Северной Кореи, действующие под псевдонимом UNC1069, смогли получить доступ к аккаунту одного из разработчиков популярной библиотеки axios. Эта библиотека используется миллионами разработчиков по всему миру для работы с HTTP-запросами.

Поддельное обновление Teams сыграло ключевую роль во взломе axios.

Получив контроль над аккаунтом, злоумышленники смогли опубликовать две вредоносные версии библиотеки axios в npm — широко используемый репозиторий пакетов. Эти версии, axios@1.14.1 и axios@0.30.4, содержали удаленный доступ к вашему компьютеру (RAT).

Почти идеальное преступление 😈

Самое интересное — это то, как именно они смогли получить доступ к аккаунту разработчика. Это была не просто кража пароля, а настоящая социальная инженерия.

1. Подготовка: Хакеры потратили около двух недель на подготовку. Они создали поддельную компанию, скопировали внешность и стиль общения ее основателя.
2. Социальная инженерия: Они связались с главным разработчиком axios, Джейсоном Саасманом, выдавая себя за основателя этой вымышленной компании.
3. Инструменты: Для дальнейшего общения они организовали встречу в Microsoft Teams, а перед этим создали фальшивый Slack-сервер с поддельным брендингом, профилями сотрудников и даже фальшивыми постами в LinkedIn.
4. Доставка вредоносного ПО: Во время встречи в Teams хакеры под предлогом "необходимости срочного обновления" предложили Саасману установить небольшую программу. Именно эта программа и оказалась RAT — удаленным доступом к компьютеру.

Злоумышленники из Северной Кореи, предположительно, использовали эту схему, которая могла скомпрометировать бесчисленные Windows-ПК.

Что это значит для нас?

По словам Джона Халквиста, главного аналитика Google Threat Intelligence, "Северокорейские хакеры имеют большой опыт в атаках на цепочки поставок... Полный масштаб этого инцидента еще не ясен, но учитывая популярность скомпрометированного пакета, мы ожидаем, что он будет иметь далеко идущие последствия".

"Это не было оппортунистически. Это была точность." — Ashish Kurmi (StepSecurity)

Даже если вам кажется, что вы не используете axios напрямую, помните, что эта библиотека используется во многих других продуктах и сервисах. Поэтому, если вы разработчик или работаете с кодом, стоит обратить внимание на рекомендации по безопасности, которые дал Саасмаан.

"Хакеры из Северной Кореи имеют глубокий опыт в атаках на цепочки поставок, которые они исторически использовали для кражи криптовалюты. Полный масштаб этого инцидента еще не ясен, но учитывая популярность скомпрометированного пакета, мы ожидаем, что он будет иметь далеко идущие последствия." — John Hultquist, главный аналитик Google Threat Intelligence Group (через TechCrunch)

В общем, будьте осторожны, проверяйте, что вы скачиваете и устанавливаете, и помните, что даже самые надежные инструменты могут стать мишенью для изощренных атак. 🛡️

"Эта атака подчеркивает, что даже проверенные временем инструменты и протоколы могут стать вектором для компрометации, когда злоумышленники применяют комплексный подход, сочетая социальную инженерию с техническими уязвимостями. Важно всегда критически оценивать источники ПО и придерживаться проверенных каналов распространения."

— Евгений (MSReview)