یک حمله سایبری منتسب به کره شمالی که دوشنبه گذشته برای مدت کوتاهی یکی از پرکاربردترین پروژههای متنباز وب را در اختیار گرفت، نتیجه چند هفته برنامهریزی و اجرای یک کمپین طولانی برای هدف قرار دادن توسعهدهندگان اصلی این کد بوده است.
تصاحب پروژه Axios در ۳۱ مارس تا حدی موفق بود، زیرا هکرها با صرف زمان و منابع زیاد توانستند بهتدریج اعتماد هدف خود را جلب کنند و احتمال نفوذ را افزایش دهند. این نوع حمله نشاندهنده چالشهای امنیتی جدی برای توسعهدهندگان پروژههای متنباز محبوب است، بهویژه در شرایطی که هم هکرهای دولتی و هم مجرمان سایبری این پروژهها را به دلیل دسترسی بالقوه به میلیونها دستگاه در سراسر جهان هدف قرار میدهند.
جیسون سایمن، نگهدارنده پروژه Axios که برای اتصال برنامهها به اینترنت استفاده میشود، گزارشی از این حمله منتشر کرده و روند زمانی آن را توضیح داده است. او گفته که هکرها حدود دو هفته پیش از نفوذ نهایی، کار خود را آغاز کردند و در نهایت توانستند کنترل رایانه او را به دست بگیرند و کد مخرب منتشر کنند.
به گفته او، مهاجمان با جا زدن خود بهعنوان یک شرکت واقعی، ایجاد یک محیط کاری جعلی در Slack و استفاده از پروفایلهای ساختگی کارکنان، اعتماد لازم را ایجاد کردند. سپس او را به یک جلسه آنلاین دعوت کردند که در آن از او خواسته شد برای شرکت در تماس، یک بهروزرسانی ظاهری را دانلود کند، اما این فایل در واقع بدافزار بوده است. این روش شبیه ترفندی است که هکرهای کره شمالی برای فریب قربانیان و گرفتن دسترسی از راه دور به سیستم آنها، اغلب با هدف سرقت ارزهای دیجیتال، استفاده میکنند.
سایمن گفته است که این حمله شباهت زیادی به هکهای قبلی دارد که پژوهشگران امنیتی گوگل آنها را به کره شمالی نسبت داده بودند.
پس از نفوذ و به دست گرفتن دسترسی از راه دور به رایانه او، هکرها نسخههای آلودهای از بهروزرسانیهای پروژه Axios را منتشر کردند.
این دو بسته مخرب که حدود سه ساعت پس از انتشار در ۳۱ مارس حذف شدند، ممکن است در همین بازه زمانی هزاران سیستم را آلوده کرده باشند، هرچند ابعاد کامل این حمله هنوز مشخص نیست. هر رایانهای که در این مدت نسخه آلوده را نصب کرده باشد، ممکن است اطلاعات حساسی مانند کلیدهای خصوصی، مشخصات کاربری و رمزهای عبور خود را در اختیار هکرها قرار داده باشد و این موضوع میتواند به نفوذهای بیشتر منجر شود.
