Microsoft har kopplat den senaste Mastra-leveranskedjeattacken till Sapphire Sleet, en nordkoreansk hotgrupp som också är känd som BlueNoroff. Kampanjen komprometterade över 140 npm-paket efter att angripare kapade ett utvecklarkonto och infogade skadlig kod i betrodda programuppdateringar.
Incidenten påverkade Mastras AI-ekosystem och exponerade utvecklare för skadlig kod som var utformad för att stjäla inloggningsuppgifter, autentiseringstoken, API-nycklar och data från kryptoplånböcker. Kopplingen till Sapphire Sleet lägger ytterligare en uppmärksammad leveranskedjeattack till den växande listan över angrepp mot open source-projekt.
Angripare kapade ett betrott npm-konto
Enligt Microsoft började kampanjen när angriparna fick tillgång till npm-kontot ”ehindero”. Kontot hade publiceringsbehörighet för Mastras paketmiljö, vilket gav hotaktörerna en direkt väg in i distributionskedjan.
Efter att ha tagit kontroll över kontot publicerade angriparna skadliga uppdateringar i fler än 140 paket. Eftersom uppdateringarna kom från en betrodd källa hade utvecklare få skäl att misstänka att något var fel.
Metoden gjorde det möjligt för den skadliga koden att spridas genom vanliga installationsprocesser. Utvecklare som installerade de drabbade paketen laddade ovetande ned skadlig kod till sina system.
Skadligt beroende levererade malware
Angriparna lade till ett beroende med namnet ”easy-day-js” i de komprometterade paketen. Paketet efterliknade det legitima JavaScript-biblioteket ”dayjs”, en teknik som kallas typosquatting.
När paketet installerades körde beroendet ett skript efter installationen som distribuerade en malware-loader. Därefter hämtade skadlig kod ytterligare nyttolaster som samlade in känslig information från de infekterade systemen.
Forskarna upptäckte att malwaret specifikt riktade in sig på utvecklarmiljöer. Den stulna informationen omfattade autentiseringstoken, API-uppgifter, webbläsardata och detaljer från kryptoplånböcker.
Målvalet stämmer väl överens med tidigare kampanjer som säkerhetsforskare har kopplat till Sapphire Sleet.
Microsoft pekar ut Sapphire Sleet
Microsoft uppger att bolaget har hög tilltro till att Sapphire Sleet låg bakom operationen. Gruppen har under lång tid ägnat sig åt ekonomiskt motiverad cyberbrottslighet och riktar ofta in sig på organisationer inom kryptovalutor och finansiella tjänster.
Säkerhetsforskare har följt Sapphire Sleet under flera år. Gruppen kombinerar ofta social manipulation, stöld av inloggningsuppgifter och malware för att komma åt värdefulla digitala tillgångar.
Nordkoreanska hotaktörer fokuserade tidigare främst på myndigheter och underrättelserelaterade mål. Under senare år har flera grupper dock skiftat fokus mot operationer som genererar intäkter. Stöld av kryptovalutor är fortfarande ett av deras främsta mål.
Den senaste attacken fortsätter den utvecklingen genom att rikta in sig på utvecklare som kan ha tillgång till känsliga uppgifter och digitala tillgångar.
Leveranskedjeattacker blir allt vanligare
Incidenten visar hur hotet från leveranskedjeattacker fortsätter att växa. I stället för att angripa organisationer direkt komprometterar angriparna betrodda programkomponenter som många verksamheter använder.
Strategin gör det möjligt att nå ett stort antal offer genom legitima uppdateringsmekanismer. Därför kan även organisationer med starka säkerhetskontroller drabbas via tredjepartsberoenden.
Open source-ekosystem är särskilt attraktiva mål eftersom utvecklare ofta installerar paket direkt från publika arkiv. Ett enda komprometterat utvecklarkonto kan påverka tusentals användare på bara några timmar.
Säkerhetsteam rekommenderar i allt högre grad striktare övervakning av paket, noggrannare granskning av beroenden och starkare kontoskydd för utvecklare och pakethanterare.
Slutsats
Mastra-leveranskedjeattacken visar hur snabbt angripare kan utnyttja betrodda programvaruekosystem när de får tillgång till ett konto med höga behörigheter. Microsofts koppling till Sapphire Sleet tyder på att operationen ingick i ett bredare försök att stjäla inloggningsuppgifter och kryptorelaterade tillgångar.
I takt med att leveranskedjeattacker blir vanligare behöver organisationer få bättre insyn i sina programvaruberoenden och införa starkare kontroller kring pakethantering. Utan sådana skyddsåtgärder kan en enda komprometterad uppdatering skapa risker långt utanför det ursprungliga målet.


0 svar till ”Mastra-leveranskedjeattack kopplas till nordkoreanska hackare”