NPM套件Axios供應鏈攻擊事故傳出是北韓駭客所為

Google威脅情報團隊（GTIG）指出，根據他們的比對，攻擊者使用的惡意程式被稱為WaveShaper.V2，是惡意程式WaveShaper的改良版本，GTIG進一步分析攻擊基礎設施加以確認，攻擊者的身分就是他們稱為UNC1069的北韓駭客組織，原因是這些基礎設施與UNC1069過往活動有交集。

在這次針對Axios的供應鏈攻擊當中，GTIG看到UNC1069上傳的1.14.1版UNC1069套件裡，引入了4.2.1版相依套件plain-crypto-js。駭客不僅挾持Axios維護者的帳號發布惡意套件，並將電子郵件信箱竄改成他們控制的Proton免費信箱帳號。攻擊者藉由相依套件掛鉤（Hook），讓後續攻擊流程在背景默默執行，此時NPM會自動執行經混淆處理的JavaScript惡意程式投放工具（Dropper）。

駭客的相依套件是傳遞有效酬載的載體，其中的核心元件是SilkBell，啟動後會動態檢查受害電腦執行的作業系統類型，並提供對應的第二階段有效酬載WaveShaper.V2。

GTIG指出，WaveShaper.V2具備後門的功能，可收集系統資訊、列出受害電腦的資料夾，並且能根據C2收到的命令列參數，執行其他的有效酬載。雖然3種平臺的後門程式採用PowerShell、C++，以及Python開發，不過它們的Beacon都會透過8000埠建立連線，並以60秒的間隔向C2端點發送訊號，而且，這些Beacon都是經過Base64演算法處理的JSON資料，並使用固定的使用者代理字串（User Agent），將流量偽裝成來自Windows XP執行的IE8瀏覽器。

此後門程式也同時具備遠端存取木馬（RAT）的功能，攻擊者能用於偵察，擷取系統遙測資料，並透過多種方法執行指令，其中包含在記憶體注入可攜式執行檔（PE），以及任何的Shell命令。

對於攻擊者UNC1069的來歷，GTIG指出這批人馬大約從2018年開始活動，主要以經濟利益為犯案動機。Google於2月曾揭露這些駭客的最新動態，指出這些駭客開始在發動社交工程攻擊的過程裡，借助AI的力量。