Laut der Aufarbeitung begann die Kompromittierung Wochen zuvor mit einem gezielten Social-Engineering-Angriff auf den leitenden Maintainer des Projekts, Jason Saayman. Die Angreifer gaben sich als ein reales Unternehmen aus, kopierten dessen Markenauftritt und das Erscheinungsbild der Gründer und luden Saayman in einen nachgebauten Slack-Arbeitsbereich ein. Dieser enthielt realistisch wirkende Kanäle, inszenierte Aktivität und gefälschte Profile, die sich als Mitarbeiter und andere Open-Source-Maintainer ausgaben.
„Der Slack war sehr durchdacht aufgebaut. Es gab Kanäle, in denen LinkedIn-Beiträge geteilt wurden – die Beiträge verwiesen vermutlich auf das echte Firmenkonto, wirkten aber äußerst überzeugend. Sie hatten sogar vermutlich gefälschte Profile des Firmenteams sowie einiger anderer Open-Source-Maintainer", schilderte Saayman.
Anschließend setzten die Angreifer ein Meeting in Microsoft Teams an, an dem zahlreiche Personen teilzunehmen schienen. Während des Gesprächs erschien eine technische Fehlermeldung, wonach eine Systemkomponente veraltet sei; der Maintainer wurde aufgefordert, ein Teams-Update zu installieren. Tatsächlich handelte es sich dabei um die RAT-Schadsoftware, die den Angreifern Fernzugriff auf das Gerät und damit die npm-Zugangsdaten für Axios verschaffte. Da die Angreifer Zugriff auf authentifizierte Sitzungen erhielten, wurde der MFA-Schutz faktisch umgangen.
Die GTIG führt die Aktivität auf UNC1069 zurück, einen seit mindestens 2018 aktiven, finanziell motivierten Akteur mit Nordkorea-Bezug. Grundlage seien der Einsatz von WAVESHAPER.V2 – einer aktualisierten Variante des zuvor von dieser Gruppe genutzten WAVESHAPER – sowie Überschneidungen bei der Infrastruktur mit früheren UNC1069-Aktivitäten. Das Vorgehen ähnelt einem sogenannten ClickFix-Angriff, bei dem Opfer eine gefälschte Fehlermeldung sehen und durch vermeintliche Behebungsschritte zur Installation von Schadsoftware verleitet werden.
Der Vorfall war kein Einzelfall: Pelle Wessman, Maintainer mehrerer Open-Source-Projekte, darunter das Mocha-Framework, berichtete auf LinkedIn, ebenfalls Ziel der Kampagne gewesen zu sein, und teilte einen Screenshot einer gefälschten RTC-Verbindungsfehlermeldung. Als er die Installation der App verweigerte, versuchten die Angreifer, ihn zur Ausführung eines Curl-Befehls zu bewegen. „Als klar wurde, dass ich die App nicht ausführen würde, unternahmen sie einen letzten verzweifelten Versuch und wollten mich dazu bringen, einen Curl-Befehl auszuführen, der etwas heruntergeladen und gestartet hätte. Als ich ablehnte, brachen sie den Kontakt ab und löschten alle Unterhaltungen", so Wessman.
Auch die Sicherheitsfirma Socket meldete eine koordinierte Kampagne, die gezielt Maintainer populärer Node.js-Projekte ins Visier nimmt. Mehrere Entwickler, darunter Maintainer weit verbreiteter Pakete und Node.js-Core-Mitwirkende, berichteten von ähnlichen Kontaktversuchen und Slack-Einladungen. Laut Socket verantworten diese Personen Pakete mit Milliarden wöchentlicher Downloads, was das Interesse der Angreifer an besonders wirkungsstarken Projekten belegt.
Socket beschreibt ein gleichbleibendes Muster: zunächst Kontaktaufnahme über LinkedIn oder Slack, dann Einladung in private Arbeitsbereiche und schließlich Videoanrufe, teils über Seiten, die Microsoft Teams imitierten. Dort wurde eine Fehlermeldung eingeblendet, die zur Installation „nativer" Desktop-Software oder zur Ausführung von Befehlen drängte. Solche Lieferkettenangriffe würden zunehmend häufiger, so die Forscher, wobei sich die Angreifer auf weit verbreitete Pakete konzentrierten, um möglichst breite Wirkung zu erzielen.
