Microsoft har knyttet det nylige Mastra-forsyningskædeangreb til Sapphire Sleet, en nordkoreansk trusselsgruppe, som også er kendt under navnet BlueNoroff. Kampagnen kompromitterede mere end 140 npm-pakker, efter at angriberne overtog en vedligeholderkonto og indsatte ondsindet kode i betroede softwareopdateringer.

Hændelsen påvirkede Mastras AI-økosystem og udsatte udviklere for malware, der var designet til at stjæle loginoplysninger, autentificeringstokens, API-nøgler og data fra kryptowallets. Koblingen til Sapphire Sleet føjer endnu et højt profileret forsyningskædeangreb til den voksende liste over angreb mod open source-projekter.

Angribere kaprede en betroet npm-konto

Ifølge Microsoft begyndte kampagnen, efter at angriberne fik adgang til npm-kontoen “ehindero”. Kontoen havde udgivelsesrettigheder i Mastras pakkemiljø, hvilket gav trusselsaktørerne en direkte adgang til softwaredistributionskæden.

Efter at have overtaget kontoen udgav angriberne ondsindede opdateringer i mere end 140 pakker. Da opdateringerne kom fra en betroet kilde, havde udviklerne få grunde til at mistænke, at noget var galt.

Denne metode gjorde det muligt at sprede den skadelige kode gennem normale installationsprocesser. Udviklere, der installerede de berørte pakker, hentede uvidende malware ned på deres systemer.

Ondsindet afhængighed leverede malware

Angriberne indsatte en afhængighed med navnet “easy-day-js” i de kompromitterede pakker. Pakken efterlignede det legitime JavaScript-bibliotek “dayjs”, en teknik kendt som typosquatting.

Når pakken blev installeret, kørte afhængigheden et script efter installationen, som implementerede en malware-loader. Herefter hentede malwaren yderligere payloads, der indsamlede følsomme oplysninger fra de inficerede systemer.

Forskerne fandt, at malwaren specifikt gik efter udviklermiljøer. De stjålne data omfattede autentificeringstokens, API-legitimationsoplysninger, browserdata og oplysninger fra kryptowallets.

Måludvælgelsen stemmer tæt overens med tidligere kampagner, som forskere har tilskrevet Sapphire Sleet.

Microsoft peger på Sapphire Sleet

Microsoft oplyser, at virksomheden har stor tillid til, at Sapphire Sleet stod bag operationen. Gruppen har en lang historie med økonomisk motiveret cyberkriminalitet og retter ofte angreb mod organisationer inden for kryptovaluta og finansielle tjenester.

Sikkerhedsforskere har fulgt Sapphire Sleet i årevis. Gruppen kombinerer ofte social manipulation, tyveri af loginoplysninger og malware for at få adgang til værdifulde digitale aktiver.

Nordkoreanske trusselsaktører fokuserede tidligere primært på myndigheder og efterretningsmål. I de senere år har flere grupper dog flyttet fokus mod operationer, der genererer indtægter. Tyveri af kryptovaluta er fortsat et af deres vigtigste mål.

Det seneste angreb fortsætter denne udvikling ved at rette sig mod udviklere, som kan have adgang til følsomme oplysninger og digitale aktiver.

Truslen fra forsyningskædeangreb vokser

Hændelsen viser, hvordan truslen fra forsyningskædeangreb fortsætter med at vokse. I stedet for at kompromittere organisationer direkte kompromitterer angriberne betroede softwarekomponenter, som mange virksomheder er afhængige af.

Denne strategi gør det muligt at nå et stort antal ofre gennem legitime opdateringsmekanismer. Derfor kan selv organisationer med stærke sikkerhedskontroller blive udsat gennem tredjepartsafhængigheder.

Open source-økosystemer er særligt attraktive mål, fordi udviklere ofte installerer pakker direkte fra offentlige registre. En enkelt kompromitteret vedligeholderkonto kan påvirke tusindvis af brugere på få timer.

Sikkerhedsteams anbefaler i stigende grad strengere overvågning af pakker, mere grundige gennemgange af afhængigheder og stærkere kontobeskyttelse for udviklere og vedligeholdere.

Konklusion

Mastra-forsyningskædeangrebet viser, hvor hurtigt angribere kan misbruge betroede softwareøkosystemer, når de får adgang til en konto med omfattende rettigheder. Microsofts kobling til Sapphire Sleet tyder på, at operationen indgik i et bredere forsøg på at stjæle loginoplysninger og kryptorelaterede aktiver.

Efterhånden som forsyningskædeangreb bliver mere almindelige, skal organisationer opnå større indsigt i deres softwareafhængigheder og indføre stærkere kontroller omkring pakkehåndtering. Uden sådanne sikkerhedsforanstaltninger kan en enkelt kompromitteret opdatering skabe risici, der rækker langt ud over det oprindelige mål.


0 svar til “Mastra-forsyningskædeangreb forbindes med nordkoreanske hackere”