De onlangs gehackte maintainer van het Axios-project, waardoor aanvallers besmette versies van de populaire library konden uitbrengen, heeft in een post mortem van het incident meer details over de social engineering-aanval gegeven die op hem werd uitgevoerd. Axios is een HTTP client library die applicaties onder andere gebruiken voor HTTP requests vanaf browsers en Node.js omgevingen. Applicaties gebruiken het om via HTTP met andere systemen te communiceren.
De library heeft meer dan honderd miljoen wekelijkse downloads op npmjs.com. Bij de aanval wisten de aanvallers het account van de primaire maintainer van het Axios-project te compromitteren, om vervolgens malafide versies uit te brengen. Deze versies installeerden bij gebruikers een remote access trojan (RAT). De maintainer liet eerder al op GitHub weten dat zijn account door middel van een social engineering-aanval was gecompromitteerd, maar heeft nu meer details gegeven.
De aanvallers deden zich voor als de oprichter van een bedrijf, waarbij ze voor het gebruikte profiel zowel gegevens van de echte oprichter als het echte bedrijf hadden gekloond. De aanvallers vertelden de Axios-maintainer dat ze met hem op het gebied van open source wilden samenwerken. Hiervoor werd de maintainer uitgenodigd voor een echte Slack workspace. Dit is een online omgeving waar organisaties en mensen in één plek aan projecten kunnen samewerken, communiceren en bestanden delen.
Volgens de maintainer was de Slack-omgeving zeer overtuigend opgezet, voorzien van allerlei links naar berichten op LinkedIn. Ook waren er allerlei vermoedelijk valse profielen actief, waaronder maintainers van andere opensourceprojecten. De aanvallers wilden een meeting met de Axios-maintainer via Microsoft Teams. Daarbij kreeg de maintainer een melding te zien dat software op zijn systeem verouderd was en hij iets moest installeren. De maintainer deed dit. In werkelijkheid ging het om een remote access trojan waarmee de aanvallers toegang tot zijn systeem kregen en allerlei session cookies, tokens en andere credentials konden stelen.
De gehackte maintainer wijst ook naar een beschrijving van Google van eerder dit jaar, waarin de werkwijze van de aanvallers wordt beschreven. Bij die aanvallen kregen slachtoffers tijdens de geplande videomeeting ook een melding dat er problemen waren en de gegeven instructies moesten worden opgevolgd om die te verhelpen. Het ging hierbij om een zogenoemde ClickFix-aanval. In een reactie op de post mortem van de Axios-maintainer zijn er ook screenshots gedeeld van de meldingen die slachtoffers van dit soort aanvallen te zien krijgen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Medior Information Security Officer
Als Medior Information Security Officer in Rotterdam versterk je onze digitale veiligheid in een organisatie die volop in cloudtransitie is. Je werkt met moderne cloud technologie én uitdagende legacy. Krijg jij energie van échte impact? Dan is dit jouw plek.
Senior Information Security Officer
Stap in de rol van Senior Information Security Officer in Rotterdam waar je iedere dag zichtbaar impact maakt op hoe we onze organisatie beschermen. Klaar om verder te lezen en te ontdekken waar jij het verschil kunt maken?
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
