Nordkoreansk hacker kapar JavaScript-biblioteket Axios och sprider skadliga versioner via npm

En hackare med koppling till Nordkorea lyckades under några timmar ta kontroll över Axios, ett av de mest använda Javascript-biblioteken i paketarkivet npm, och publicerade skadliga versioner som kunde installera en fjärrstyrningstrojan på utvecklares datorer. TechCrunch rapporterar att de manipulerade utgåvorna låg ute i ungefär tre timmar innan de togs bort, efter att angriparen tagit över ett konto tillhörande en förvaltare och släppt vad som såg ut som rutinmässiga uppdateringar för Windows, macOS och Linux.

Händelsen påminner om att modern programvara i praktiken sätts ihop snarare än skrivs. En typisk tillämpning drar in hundratals eller tusentals tredjepartspaket, ofta förvaltade av en handfull frivilliga, och levereras genom automatiserade byggkedjor som få företag granskar från början till slut. I en sådan ordning behöver angriparen inte bryta sig in hos varje mål: det räcker att bli ”betrodd” en gång, inne i ett beroende som ligger uppströms och därmed påverkar miljontals nedströms byggen. StepSecurity uppger att man upptäckte den skadliga publiceringen snabbt, men tidsfönstret är mindre viktigt än principen: ett enda komprometterat förvaltarkonto kan förvandla ett globalt utvecklarekosystem till en distributionskanal.

Incitamenten pekar åt fel håll. Stora företag lägger stora pengar på efterlevnadsramverk och leverantörsformulär, men programvara med öppen källkod kommer ofta in via indirekta importer som aldrig passerar inköp eller formell granskning. Kostnaden för god beroendehygien – att låsa versionsnummer, kontrollera signaturer, hålla interna speglar, göra reproducerbara byggen och finansiera förvaltare – hamnar på användaren. Vinsten av att leverera snabbare hamnar på produktlaget. Samtidigt kan en angripare sprida kostnaden för en enda kontoövertagning över tiotals miljoner nedladdningar per vecka.

TechCrunch noterar att den skadliga koden var utformad för att radera sig själv efter installation, ett försök att undvika antivirusmotorer och försvåra kriminalteknisk granskning. Den sortens operativ disciplin blir enklare när angriparen kontrollerar leveransmekanismen: man kan lägga in smygfunktioner en gång och sedan låta ekosystemet sköta utrullningen. Googles hotunderrättelsegrupp tillskrev komprometteringen en misstänkt nordkoreansk aktör som man följer under beteckningen UNC1069, en grupp som enligt Google har erfarenhet av att använda angrepp via leveranskedjan för att stjäla kryptovalutor.

Även när en incident fångas snabbt blir saneringen långsam och dyr. Lag måste fastställa om de hämtat de förgiftade versionerna, byta ut hemligheter, bygga om artefakter och utgå från att miljöer kan vara komprometterade när paketinstallationer behandlas som rutin. Efterlevnadsrapporten kommer först när beroendegrafen redan har levererats.

Axios laddas ned tiotals miljoner gånger varje vecka, och under flera timmar på måndagskvällen var den ”betrodda” versionen angriparens.