谷歌将 Axios npm 供应链攻击归因于朝鲜APT组织 UNC1069
谷歌威胁情报分析师John Hultquist证实了这一归因结论,指出该组织在供应链攻击领域的活跃度持续上升。
攻击事件核心归因与技术细节
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
谷歌威胁情报团队将近期Axios npm软件包供应链攻击事件归因于代号UNC1069的朝鲜黑客组织。该攻击以经济利益为目标,通过污染Axios软件包来针对依赖该库的开发者与组织。
谷歌威胁情报分析师John Hultquist证实了这一归因结论,指出该组织在供应链攻击领域的活跃度持续上升。谷歌威胁情报组分析报告指出:"基于攻击者使用的WAVESHAPER.V2恶意软件(该组织此前使用的WAVESHAPER恶意软件的升级版本),GTIG将此次攻击活动归因于UNC1069——这个至少自2018年起活跃的、以经济利益为导向的朝鲜背景威胁组织。此外,本次攻击使用的基础设施与UNC1069过往活动存在重叠。"
攻击者入侵了Axios维护者的npm账户(该库每周下载量超1亿次),发布恶意版本以在Linux、Windows和macOS系统上传播远程访问木马。当异常更新出现在npm仓库后,多家安全公司识别出这起供应链攻击。
恶意版本Axios(1.14.1和0.30.4)在一小时内发布,既未通过OIDC验证,也没有对应的GitHub提交记录,这些异常立即引发安全警报。研究人员认为攻击者入侵了维护者Jason Saayman的npm账户。
Aikido Security发布的报告警告:"任何在恶意版本下架前安装的用户都应假定系统已遭入侵。这些恶意版本会注入plain-crypto-js依赖项,部署针对macOS、Windows和Linux的跨平台远程访问木马。"
虽然具体影响尚不明确,但考虑到Axios每月约4亿次的下载量,在短暂的攻击窗口期内可能有大量下游项目受到影响。Socket研究人员发现,名为plain-crypto-js@4.2.1的恶意包在发布后数分钟内即被检测到,这很可能是针对Axios的协同攻击的一部分。攻击者将该依赖项植入两个受污染的Axios版本,使得恶意软件能通过这个被数百万项目信任的库传播。由于许多开发者启用自动更新功能,受影响版本可能在未被察觉的情况下被安装。
恶意代码采用混淆技术规避检测,并通过安装后脚本自动运行。执行后,它会检测操作系统类型(Windows、macOS或Linux)并下载针对各平台的第二阶段载荷。研究人员确认,针对macOS系统会投递功能完整的远程访问木马(RAT),可收集系统信息、与C2服务器通信并执行命令。
Socket报告指出:"Elastic Security安全研究员Joe Desimone在C2服务器下线前捕获并逆向分析了macOS第二阶段二进制文件。该载荷是用C++编写的全功能远程访问木马。"
为消除痕迹,恶意软件运行后会删除安装文件并恢复看似正常的包内容。专家认为此次攻击得以实施,关键在于维护者账户遭入侵,使得攻击者能未经授权发布恶意更新。
攻击影响范围与潜在风险
谷歌威胁情报组(GTIG)与其他研究人员将Axios npm供应链攻击归因于至少自2024年起活跃的朝鲜黑客组织UNC1069。SentinelOne此前观察到该组织使用macOS恶意软件,包括通过伪造Zoom活动攻击加密货币公司。Axios攻击中使用的恶意软件与朝鲜行动相关的WAVESHAPER变种高度相似。Hultquist强调该组织在供应链攻击和加密货币窃取方面具备专业能力。
WAVESHAPER.V2是UNC1069使用的多功能后门,通过C++、PowerShell或Python针对macOS、Windows等环境。它每60秒以Base64编码的JSON数据向C2服务器发送信标,使用硬编码User-Agent后等待指令。功能包括侦察(系统信息、运行进程)、目录枚举、脚本执行和PE注入。在Windows系统上,它通过隐藏批处理文件和注册表项实现持久化,具备完整的远程命令执行和文件系统访问能力。
供应链攻击趋势与防御启示
Hultquist表示:"朝鲜背景的威胁组织在供应链攻击方面经验丰富,历史上常借此窃取加密货币。虽然本次事件的全貌尚不清晰,但考虑到被污染软件包的流行度,其影响将十分深远。"
谷歌报告总结指出:"朝鲜黑客发动的这起攻击影响广泛,由于众多流行软件包依赖axios,将产生连锁反应。值得注意的是,UNC1069并非近期唯一成功实施开源供应链攻击的威胁组织。UNC6780(又名TeamPCP)近期污染了与Trivy、Checkmarx和LiteLLM等项目关联的GitHub Actions和PyPI软件包,部署SANDCLOCK凭证窃取程序以实施后续勒索活动。这些攻击可能导致数十万条机密信息泄露,短期内可能引发更多软件供应链攻击、SaaS环境入侵(导致下游客户受影响)、勒索软件事件以及加密货币盗窃。"
热门专题
热门推荐
电陶炉清洁后出现白雾?别慌,这是正常现象 清洁完电陶炉,一开机,面板上却泛起一层白蒙蒙的雾气?先别急着担心是面板坏了。这其实是微晶玻璃表面残留的水渍或清洁剂成分,在受热时蒸发、散射光线所导致的正常物理现象。它并非面板老化、涂层脱落或材质损伤的信号,恰恰相反,这现象背后是行业通用的高品质材料——比如日
路由器信号最佳的摆放方式 想让家里的Wi-Fi信号满格、延迟稳定?秘诀其实就藏在路由器的摆放里。经过大量实测验证,最理想的摆放位置是房屋的几何中心、离地1 2到1 5米的开放高处,并且要严格远离金属物体、承重墙和大功率电器。这背后的原理,是Wi-Fi电磁波在2 4GHz和5GHz频段固有的传播特性:
白天离家时,海尔壁挂炉应设置为冬季模式下的“低温常开”状态 白天离家时,把壁挂炉完全关掉?这可能是很多人的习惯操作,但未必是最优解。更推荐的做法是,将海尔壁挂炉设置为冬季模式下的“低温常开”状态。这个设定听起来有点反直觉,其实背后是一套兼顾系统稳定、节能效果与居住舒适度的成熟逻辑——对于暖气片用户,
海尔壁挂炉推荐使用“舒适模式”实现自动温度调节 想让家里的壁挂炉自己“学会”调节温度吗?海尔壁挂炉的“舒适模式”就是为此而设计的。这个模式的核心在于“微调”和“预判”:它把水温控制的温差范围缩小到3–4℃,再配合变频技术实时响应室温变化,最终能把实际水温的波动稳稳地控制在±0 8℃以内。体感上的直接
苹果Pro静音后闹钟会响吗?一个被误解的“安全网” 相信不少苹果Pro用户都有过这样的疑惑:晚上把手机侧面的静音拨片一拨,世界瞬间清净。但转念一想,明天早上的闹钟还能准时响吗?答案是肯定的,而且会响得理直气壮。这可不是什么系统漏洞,恰恰相反,这是iOS为你筑起的一道“时间安全网”——静音开关管的是外