Microsoft har knyttet det nylige Mastra-forsyningskjedeangrepet til Sapphire Sleet, en nordkoreansk trusselgruppe som også er kjent som BlueNoroff. Kampanjen kompromitterte mer enn 140 npm-pakker etter at angripere kapret en vedlikeholderkonto og la inn skadelig kode i pålitelige programvareoppdateringer.
Hendelsen påvirket Mastras AI-økosystem og utsatte utviklere for skadevare som var utviklet for å stjele påloggingsopplysninger, autentiseringstokener, API-nøkler og data fra kryptolommebøker. Koblingen til Sapphire Sleet legger enda en profilert forsyningskjedeoperasjon til den voksende listen over angrep mot open source-prosjekter.
Angripere kapret en betrodd npm-konto
Ifølge Microsoft startet kampanjen etter at angriperne fikk tilgang til npm-kontoen «ehindero». Kontoen hadde publiseringsrettigheter i Mastras pakkemiljø, noe som ga trusselaktørene en direkte vei inn i programvaredistribusjonskjeden.
Etter å ha overtatt kontoen publiserte angriperne skadelige oppdateringer i mer enn 140 pakker. Siden oppdateringene kom fra en betrodd kilde, hadde utviklere få grunner til å mistenke at noe var galt.
Denne metoden gjorde det mulig å spre den skadelige koden gjennom vanlige installasjonsprosesser. Utviklere som installerte de berørte pakkene, lastet uvitende ned skadevare til sine egne systemer.
Skadig avhengighet leverte skadevare
Angriperne la inn en avhengighet kalt «easy-day-js» i de kompromitterte pakkene. Pakken etterlignet det legitime JavaScript-biblioteket «dayjs», en teknikk som kalles typosquatting.
Etter installasjon kjørte avhengigheten et skript som distribuerte en skadevarelaster. Deretter lastet skadevaren ned flere nyttelaster som samlet inn sensitiv informasjon fra infiserte systemer.
Forskerne fant at skadevaren spesifikt rettet seg mot utviklermiljøer. De stjålne dataene inkluderte autentiseringstokener, API-legitimasjon, nettleserdata og opplysninger fra kryptolommebøker.
Målutvelgelsen samsvarer tett med tidligere kampanjer som forskere har knyttet til Sapphire Sleet.
Microsoft peker på Sapphire Sleet
Microsoft opplyser at selskapet har høy tillit til at Sapphire Sleet sto bak operasjonen. Gruppen har en lang historie med økonomisk motivert cyberkriminalitet og retter ofte angrep mot organisasjoner innen kryptovaluta og finansielle tjenester.
Sikkerhetsforskere har fulgt Sapphire Sleet i flere år. Gruppen kombinerer ofte sosial manipulering, tyveri av påloggingsopplysninger og skadevare for å få tilgang til verdifulle digitale eiendeler.
Nordkoreanske trusselaktører fokuserte tidligere hovedsakelig på myndigheter og etterretningsmål. I senere år har flere grupper flyttet oppmerksomheten mot operasjoner som genererer inntekter. Tyveri av kryptovaluta er fortsatt et av deres viktigste mål.
Det siste angrepet følger den samme utviklingen ved å rette seg mot utviklere som kan ha tilgang til sensitive opplysninger og digitale verdier.
Trusselen fra forsyningskjedeangrep vokser
Hendelsen viser hvordan trusselen fra forsyningskjedeangrep fortsetter å øke. I stedet for å bryte seg direkte inn hos organisasjoner kompromitterer angriperne pålitelige programvarekomponenter som mange virksomheter bruker.
Denne strategien gjør det mulig å nå et stort antall ofre gjennom legitime oppdateringsmekanismer. Derfor kan selv organisasjoner med sterke sikkerhetskontroller bli eksponert gjennom tredjepartsavhengigheter.
Open source-økosystemer er spesielt attraktive mål fordi utviklere ofte installerer pakker direkte fra offentlige registre. En enkelt kompromittert vedlikeholderkonto kan påvirke tusenvis av brukere i løpet av få timer.
Sikkerhetsteam anbefaler i økende grad strengere overvåking av pakker, grundigere gjennomgang av avhengigheter og sterkere kontobeskyttelse for utviklere og vedlikeholdere.
Konklusjon
Mastra-forsyningskjedeangrepet viser hvor raskt angripere kan misbruke pålitelige programvareøkosystemer når de får tilgang til en konto med omfattende rettigheter. Microsofts kobling til Sapphire Sleet tyder på at operasjonen inngikk i et bredere forsøk på å stjele påloggingsopplysninger og kryptorelaterte eiendeler.
Ettersom forsyningskjedeangrep blir stadig vanligere, må organisasjoner få bedre oversikt over sine programvareavhengigheter og innføre sterkere kontroller rundt pakkehåndtering. Uten slike tiltak kan én kompromittert oppdatering skape risiko som strekker seg langt utover det opprinnelige målet.


0 responses to “Mastra-forsyningskjedeangrep knyttes til nordkoreanske hackere”