Jason Saiman, główny maintainer Axios, podzielił się szczegółami tego, jak dokładnie został zhakowany

Pamiętacie, iż niedawno napastnicy zhakowali Axios — jeden z najpopularniejszych klientów HTTP w świecie JavaScriptu?

Tak więc niedawno Jason Saiman, główny maintainer Axios, opublikował post-mortem tego, jak udało się go złamać.

Jak to się stało Hakerzy nie szukali żadnych podatności typu zero-day, nie łamali infrastruktury GitHuba i nie odszyfrowywali ruchu. Po prostu zastosowali bardzo dobrze przygotowaną, kosztowną i dopracowaną w najmniejszych szczegółach socjotechnikę. Napastnicy skontaktowali się z Jasonem, podszywając się pod założyciela całkowicie realnej firmy. W pełni skopiowali jego tożsamość, markę i zaprosili Saimana do specjalnie przygotowanego fałszywego workspace’u w Slacku.

Ten workspace był przygotowany bardzo wiarygodnie. Były tam aktywne kanały z fałszywymi pracownikami, repostowano rzeczywiste wpisy firmy z LinkedIna, omawiano różne procesy pracy. Stworzyli choćby fałszywe profile innych znanych contributorów open source, żeby całkowicie uśpić czujność. jeżeli kiedyś oglądaliście „The Truman Show”, możecie mieć tutaj skojarzenia :)

Dalej nastąpił etap bezpośredniego kontaktu. Jasonowi zaplanowano wideorozmowę w Microsoft Teams, rzekomo w celu poznania zespołu. Dołącza do spotkania, widzi grupę osób prowadzących profesjonalną rozmowę i jego poziom krytycznego myślenia naturalnie spada. I właśnie w tym momencie następuje kulminacja. W trakcie rozmowy informują go, iż w jego systemie brakuje komponentu potrzebnego do poprawnego działania albo wyświetlania połączenia. Otrzymuje plik i jako deweloper, będąc przekonanym, iż to zwykła aktualizacja Teams, instaluje go manualnie na swojej maszynie.

Ten plik okazał się trojanem. Wszystko — game over. Po uzyskaniu dostępu do jego komputera hakerzy przejęli jego lokalne sesje oraz tokeny npm. To właśnie pozwoliło im opublikować backdoora w wersjach Axios bezpośrednio w rejestrze pakietów, omijając wszystkie automatyczne kontrole kodu i proces review na GitHubie.

Oto tak po prostu. Dewelopera krytycznego narzędzia, od którego zależy duża część światowego webu, zhakowano przez zwykłą ufność i bardzo dobre przygotowanie napastników.

https://github.com/axios/axios/issues/10636#issuecomment-4180237789

Jak by nie patrzeć, nie bez powodu mówi się, iż najsłabszym ogniwem w cyberbezpieczeństwie zawsze był i jest człowiek :)