Hackers vinculados a Corea del Norte comprometen el paquete Axios npm en un importante ataque a la cadena…

Un grupo de amenazas vinculado a Corea del Norte secuestró con éxito una de las bibliotecas de JavaScript más utilizadas en Internet, inyectando malware en millones de posibles entornos de desarrollo. Al comprometer este paquete, los actores de amenazas se posicionaron para entregar malware silenciosamente a cualquiera que instalara o actualizara el paquete Axios durante la ventana de compromiso.

Los investigadores de CrowdStrike Counter Adversary Operations identificaron esta actividad y la atribuyeron con moderada confianza a un grupo de amenaza norcoreano rastreado como STARDUST CHOLLIMA. Los analistas notaron que los atacantes implementaron variantes actualizadas de una familia de malware llamada ZshBucket, una herramienta exclusivamente vinculada a STARDUST CHOLLIMA, dirigida a sistemas Linux, macOS y Windows. Si bien se observaron superposiciones de infraestructura con otro grupo norcoreano llamado FAMOUS CHOLLIMA, la sofisticación técnica de las variantes de ZshBucket en este ataque apuntó más fuertemente hacia STARDUST CHOLLIMA como el actor principal. STARDUST CHOLLIMA tiene un historial bien documentado de apuntar a titulares de criptomonedas y empresas de tecnología financiera a través de compromisos en la cadena de suministro que involucran repositorios npm y PyPI.

Dado que Axios está integrado en innumerables aplicaciones web y flujos de trabajo de desarrolladores en todo el mundo, la capacidad del grupo para alcanzar objetivos financieros a escala a través de un único paquete comprometido es una preocupación seria. La publicación Hackers vinculados a Corea del Norte comprometen el paquete Axios npm en un importante ataque a la cadena de suministro apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗