Beim Angriff auf Saayman nutzten die Täter Methoden, die zuvor schon in den Kampagnen DeceptiveDevelopment, Operation Dream Job, Contagious Interview und ClickFake Interview beobachtet wurden. Nachdem sie ihn in einen Slack-Arbeitsbereich eingeladen hatten, vereinbarten sie ein Treffen über Microsoft Teams. Beim Beitritt erhielt der Maintainer eine Fehlermeldung und wurde aufgefordert, ein vermeintliches Update zu installieren — tatsächlich infizierte es sein System mit einem Fernzugriffstrojaner.

Dieselbe Vorgehensweise setzt UNC1069 laut Socket nun gegen mehrere prominente Node.js-Maintainer ein. Zu den Zielpersonen zählen Socket-Geschäftsführer Feross Aboukhadijeh, mehrere Socket-Ingenieure, das Mitglied der Node Package Maintenance Working Group Wes Todd, Platformatic-Mitgründer und CTO Matteo Collina, Dotenv-Entwickler Scott Motte sowie Ulises Gascón, Mitwirkender der Node.js Security Working Group, und weitere.

Socket zufolge wurde die Kampagne wahrscheinlich über mehrere Wochen und mit großer Detailgenauigkeit aufgesetzt, um die Köder so überzeugend wie möglich zu gestalten. Die Angreifer bauten scheinbar legitime Infrastruktur für Besprechungen auf und schufen Vertrauen, bevor sie ihre Opfer zur Ausführung von Schadsoftware verleiteten.

„Die Operation erstreckt sich über Wochen und ist bewusst darauf angelegt, unauffällig zu wirken. Die Angreifer bauen mit der Zeit eine Beziehung auf, vereinbaren Gespräche im Voraus und verschieben sie, und treten dabei mit der Professionalität eines seriösen Geschäftskontakts auf“, schreibt Socket.

Bereits im Februar hatte Google gewarnt, dass UNC1069 dieselben Methoden gegen Unternehmen aus dem Bereich Decentralized Finance, Kryptowährungsfirmen und Risikokapitalgeber einsetzt.

In der Aufarbeitung des Axios-Vorfalls richtete der Sicherheitsforscher Tay einen eindringlichen Appell an die Gemeinschaft der Open-Source-Maintainer: Man solle die Sache sehr ernst nehmen. Die für den Angriff verwendeten Personas und Kanäle würden untersucht und abgeschaltet, doch es gebe noch viele weitere. Er rief dazu auf, solche Fälle zu melden, darüber zu sprechen und sie zu teilen — dies sei kein gewöhnliches Phishing.