Meerdere Node.js maintainers zijn het doelwit van social engineering-aanvallen geworden, afkomstig van dezelfde aanvallers die de maintainer van het Axios-project wisten te compromitteren. Dat meldt securitybedrijf Socket in een analyse. De aanvallen waren onder andere gericht tegen de ontwikkelaar van WebTorrent, StandardJS en buffer, maintainers van honderden ECMAScript polyfills en shims, de ontwikkelaar van Lodash, de maintainer van Fastify, Pino en Undici, leden van de Node Package Maintenance Working Group, medewerkers van Platformatic, de bedenker van Dotenv, een maintainer van mocha, neostandard, npm-run-all2 en type-fest en mensen betrokken bij de Node.js Security Working Group. Node.js is een open source, crossplatform JavaScript runtime omgeving waarmee ontwikkelaars JavaScript kunnen gebruiken voor het ontwikkelen van applicaties, tools en scripts.

Onlangs werd bekend dat aanvallers het account van de primaire maintainer van het Axios-project hadden gehackt. Dit is een zeer populaire HTTP client library die applicaties onder andere gebruiken voor HTTP requests vanaf browsers en Node.js omgevingen. Applicaties gebruiken het om via HTTP met andere systemen te communiceren. De software telt meer dan honderd miljoen downloads per week. Via het gehackte account werden besmette versies gepubliceerd. Deze versies installeerden bij slachtoffers een remote access trojan (RAT), waardoor de aanvallers toegang tot hun systemen kregen.

De Axios-maintainer publiceerde vorige week meer details over de aanval, waarbij zijn account door middel van social engineering was gehackt. Hij was benaderd door aanvallers, die zich daarbij voordeden als de oprichter van een bedrijf. Voor het gebruikte profiel waren zowel gegevens van de echte oprichter als het echte bedrijf gekloond. Uiteindelijk werd de Axios-maintainer gevraagd om deel te nemen aan een videogesprek via Microsoft Teams.

De maintainer kreeg daarbij een melding te zien dat software op zijn systeem verouderd was en hij iets moest installeren. De maintainer deed dit. In werkelijkheid ging het om een remote access trojan waarmee de aanvallers toegang tot zijn systeem kregen en allerlei session cookies, tokens en andere credentials konden stelen. Nu blijkt dat de aanvallers via deze methode ook andere maintainers probeerden te hacken. Sommige van de aangevallen maintainers zijn verantwoordelijk voor packages met 114 miljoen en 137 miljoen wekelijkse downloads. De maintainers werden onder andere benaderd via LinkedIn.

Eén van de aangevallen maintainers beschreef op LinkedIn de werkwijze van de aanvallers, waarbij ze probeerden hem een malafide app te laten installeren. Toen hij dit weigerde vroegen de aanvallers of hij een curl commando in zijn terminal wilde uitvoeren. Nadat de maintainer ook hier geen gehoor aan gaf verdwenen de aanvallers en verwijderden alle gesprekken.

De groep aanvallers die voor de aanvallen verantwoordelijk wordt gehouden zou aan het Noord-Koreaanse regime zijn gelieerd en zich in het verleden hebben beziggehouden met aanvallen op cryptobedrijven en personen die over veel crypto bezitten. "Het npm-ecosysteem geeft aanvallers een ander soort toegang: schrijfrechten voor packages die worden gebruikt in de software supply chain van bedrijven wereldwijd", aldus Socket. In een reactie op de post mortem van de hack van de Axios-maintainer stelt een beveiligingsonderzoeker dat het belangrijk is dat slachtoffers en doelwitten hun verhalen blijven delen. "Schaam je niet. Bescherm elkaar tegen mensen die je stom noemen omdat je 'in phishing trapte'. Je bent niet stom."