一名黑客劫持並修改了一款流行的開源軟件開發工具,並向其注入惡意程式碼,這可能會使數以百萬計的開發者面臨風險。據報導,本周一,一名黑客將惡意版本的 JavaScript 庫 Axios 推送至網絡,這是開發者用來讓其軟件連接互聯網的重要工具。受影響的庫托管在 npm 上,這是一個儲存開源項目代碼的軟件庫。Axios 每周的下載量高達數千萬次。
根據安全公司 StepSecurity 的分析,這次劫持事件在本周一至周二的三個小時內被發現並阻止。黑客越來越頻繁地針對流行的開源項目開發者,以便大規模攻擊任何依賴受到損害代碼的用戶,這將可能使黑客獲得大量受影響設備的訪問權限。這類大規模的違規行為被稱為供應鏈攻擊,因為它們針對的軟件使黑客能夠進一步攻擊下載了受損軟件的用戶。
最近幾年,黑客已經攻擊了如 3CX、Kaseya 和 SolarWinds 等公司,以及 Log4j 和 Polyfill.io 等開源工具,目的是影響大量用戶。目前尚不清楚在這段時間內有多少人下載了惡意版本的 Axios。安全公司 Aikido 也針對此事件進行了調查,並表示任何下載了該代碼的人“應假設其系統已被攻擊”。
這名黑客能夠通過入侵一位主要開發者的帳戶來將惡意代碼潛入 Axios,這位開發者有權推送更新。黑客將該開發者的電子郵件地址替換為自己的,這使得開發者更難恢復訪問權限。一旦控制了該帳戶,黑客便插入了旨在提供遠程訪問木馬(RAT)的惡意代碼,這種木馬可以讓黑客完全控制受害者的計算機。隨後,黑客以看似合法的更新形式推送了新的 Axios 版本,適用於 Windows、macOS 和 Linux 用戶。
根據安全研究人員的說法,黑客還設計了這種惡意程式以及用於傳送它的部分代碼,使其在安裝後自動刪除,以試圖隱藏在反惡意軟件引擎和調查者的視線之外。
