SchwachstellenHackerangriffeCyberkriminalität

Nordkoreanische Hacker hinter Axios-Anschlag: Google bestätigt Supply-Chain-Attacke

Nordkoreanische Hacker hinter Axios-Anschlag: Google bestätigt Supply-Chain-Attacke
Zusammenfassung

Google hat die Kompromittierung des beliebten npm-Pakets Axios einer nordkoreanischen Hackergruppe namens UNC1069 zugeordnet. Die Angreifer übernahmen die Kontrolle über das Maintainer-Konto und verteilten manipulierte Versionen des Pakets, die eine bösartige Abhängigkeit namens "plain-crypto-js" enthielten. Diese fungiert als Auslieferungsmechanismus für den Trojaner SILKBELL, der einen plattformübergreifenden Backdoor namens WAVESHAPER.V2 installiert – eine aktualisierte Version eines bereits 2018 eingesetzten Trojaners, der auf Kryptowährung-Diebstähle abzielt. Die Malware ist in der Lage, Windows-, macOS- und Linux-Systeme zu infizieren und kommuniziert alle 60 Sekunden mit Kommando-und-Kontroll-Servern. Für deutsche Unternehmen und Entwickler stellt dieser Angriff ein erhebliches Risiko dar, da Axios eines der meistgenutzten JavaScript-Pakete ist. Jedes Entwicklungsteam, das das betroffene Paket installiert hat, könnte kompromittiert worden sein. Sicherheitsexperten warnen, dass dies kein isoliertes Ereignis darstellt, sondern eine gut organisierte, skalierbare Operation widerspiegelt. Unternehmen müssen umgehend ihre Abhängigkeitsbäume überprüfen, kompromittierte Versionen deinstallieren und alle in betroffenen Umgebungen exponierten Zugangsdaten als kompromittiert behandeln.

Die nordkoreanische Hackergruppe UNC1069 hat mit dem Anschlag auf das npm-Paket Axios eine neue Dimension in der Supply-Chain-Sabotage erreicht. Nach Angaben von John Hultquist, Chief Analyst der Google Threat Intelligence Group, handelt es sich um einen gezielten und wohlgeplanten Angriff, nicht um eine zufällige Opportunität.

Die Mechanik des Anschlags

Die Angreifer verschafften sich Zugang zu den Anmeldedaten des Paket-Maintainers und luden innerhalb von weniger als 40 Minuten zwei manipulierte Versionen hoch. Die Schadsoftware verbarg sich in der Abhängigkeit “plain-crypto-js”, die einen JavaScript-Dropper namens SILKBELL (setup.js) ausführte. Dieser Dropper kommunizierte mit einem Remote-Server und lieferte maßgeschneiderte Malware basierend auf dem Betriebssystem des Opfers.

WAVESHAPER.V2: Die Waffe der Angreifer

Das zentrale Element des Anschlags ist der Backdoor WAVESHAPER.V2, eine weiterentwickelte Version des älteren WAVESHAPER-Backdoors, den UNC1069 bereits in Angriffen auf die Kryptowährungsbranche eingesetzt hat. Die neue Variante kommuniziert über JSON-Protokolle statt rohbinärer Protokolle und sammelt deutlich mehr Systeminformationen. Der Backdoor beaconiert alle 60 Sekunden zum Command-and-Control-Server ab und unterstützt mehrere Steuerungsbefehle.

Für Windows lieferte der Dropper PowerShell-Malware, für macOS einen C++-Mach-O-Binary und für Linux einen Python-Backdoor. Besonders bemerkenswert: Die Malware bereinigt sich selbst und überschreibt die “package.json” des malicious Pakets mit einer sauberen Version, um Spuren zu verwischen.

Ein Zeichen organisierter Kriminalität

Die Raffinesse des Anschlags deutet darauf hin, dass UNC1069 einen skalierbare Operation geplant hatte. “Das ist kein Einzelfall, sondern eine Vorlage”, warnt Tomislav Peričin, Chief Software Architect bei ReversingLabs. Die Gruppe hatte Payloads für drei Betriebssysteme vorgefertigt und führte beide Release-Branches in Rekordzeit aus.

Besorgniserregend ist auch, dass ähnliche Anschläge möglicherweise auf PyPI (Python) und NuGet (.NET) folgen könnten. Für Sicherheitsexperten ist klar: UNC1069 zielt auf maximale Entwicklerreichweite ab.

Maßnahmen zur Schadensminderung

Betroffene Entwickler und Organisationen sollten sofort ihre Dependency Trees überprüfen und Axios auf sichere Versionen downgrades. Die C2-Domain “sfrclak[.]com” (IP: 142.11.206[.]73) muss blockiert und alle Credentials rotiert werden. Darüber hinaus sollten alle Pakete in der Build-Pipeline auditiert werden – nicht nur npm-Abhängigkeiten.

Ähnliche Artikel