Axios供應鏈攻擊事故調查出現新進展，北韓駭客透過Slack、Teams竊得憑證而得逞

Jason Saayman起初於3月31日的資安公告透露，Axios的維護團隊成員大約在兩週前遭遇社交工程攻擊。事隔數日，他於該公告留言說明駭客如何攻擊。

Saayman提及，駭客的攻擊途徑，大致透過Google威脅情報團隊（GITG）於2月揭露的手法來進行。這些駭客偽裝成某家公司的創辦人，並冒用他的肖像及相關資料，然後邀請Saayman存取特定的Slack工作空間（Workspace），該工作空間設置公司的品牌商標，駭客在頻道裡張貼了LinkedIn文章，Saayman因而降低警覺，誤以為這些貼文由實際企業的帳號發布。而且，駭客也建立一群假帳號，身分看似公司團隊成員與其他開源軟體維護者。

接著，駭客安排Saayman參與Teams會議，看起來有一群人在開會。然後他看到會議系統出現錯誤訊息，聲稱電腦有部分元件過時，Saayman依照指示安裝缺少的元件，電腦就被植入了遠端存取木馬（RAT）。

值得留意的是，有資安公司表示，多名具有高度影響力的NPM維護者也在這波活動被鎖定。資安公司Socket指出，該公司執行長Feross Aboukhadijeh，以及Jordan Harband、John-David Dalton等多名工程師，都確認他們遭到UNC1069鎖定，收到對方寄送的Slack工作空間的存取邀請。

還有其他NPM套件維護者也表示遭受相關攻擊，不過駭客沒有成功。這些維護者包含了Platformatic共同創辦人暨技術長Matteo Collina、打造NPM套件的開發者DotenvScott Motte、Node.js核心協作與發布成員Ulises Gascón與Jean Burellier，以及040資深網頁開發工程師Pelle Wessman。

他們遇到的情況存在共通點，駭客大多透過電子郵件或LinkedIn訊息，邀請這些維護者加入特定的Slack工作空間，然後要求他們加入假的Teams視訊會議，過程裡系統出錯，要求套件維護者依照指示安裝特定元件。一旦維護者表明拒絕照做，駭客隨即將他們從Slack工作空間移除，並刪除所有對話內容。