Jason Saiman, główny maintainer Axios, podzielił się szczegółami tego, jak dokładnie został zhakowany

Jason Saiman, główny maintainer Axios, podzielił się szczegółami tego, jak dokładnie został zhakowany

Pamiętacie, że niedawno napastnicy zhakowali Axios — jeden z najpopularniejszych klientów HTTP w świecie JavaScriptu?

Tak więc niedawno Jason Saiman, główny maintainer Axios, opublikował post-mortem tego, jak udało się go złamać.

Jak to się stało Hakerzy nie szukali żadnych podatności typu zero-day, nie łamali infrastruktury GitHuba i nie odszyfrowywali ruchu. Po prostu zastosowali bardzo dobrze przygotowaną, kosztowną i dopracowaną w najmniejszych szczegółach socjotechnikę. Napastnicy skontaktowali się z Jasonem, podszywając się pod założyciela całkowicie realnej firmy. W pełni skopiowali jego tożsamość, markę i zaprosili Saimana do specjalnie przygotowanego fałszywego workspace’u w Slacku.

Ten workspace był przygotowany bardzo wiarygodnie. Były tam aktywne kanały z fałszywymi pracownikami, repostowano rzeczywiste wpisy firmy z LinkedIna, omawiano różne procesy pracy. Stworzyli nawet fałszywe profile innych znanych contributorów open source, żeby całkowicie uśpić czujność. Jeśli kiedyś oglądaliście „The Truman Show”, możecie mieć tutaj skojarzenia :)

Dalej nastąpił etap bezpośredniego kontaktu. Jasonowi zaplanowano wideorozmowę w Microsoft Teams, rzekomo w celu poznania zespołu. Dołącza do spotkania, widzi grupę osób prowadzących profesjonalną rozmowę i jego poziom krytycznego myślenia naturalnie spada. I właśnie w tym momencie następuje kulminacja. W trakcie rozmowy informują go, że w jego systemie brakuje komponentu potrzebnego do poprawnego działania albo wyświetlania połączenia. Otrzymuje plik i jako deweloper, będąc przekonanym, że to zwykła aktualizacja Teams, instaluje go ręcznie na swojej maszynie.

Ten plik okazał się trojanem. Wszystko — game over. Po uzyskaniu dostępu do jego komputera hakerzy przejęli jego lokalne sesje oraz tokeny npm. To właśnie pozwoliło im opublikować backdoora w wersjach Axios bezpośrednio w rejestrze pakietów, omijając wszystkie automatyczne kontrole kodu i proces review na GitHubie.

Oto tak po prostu. Dewelopera krytycznego narzędzia, od którego zależy duża część światowego webu, zhakowano przez zwykłą ufność i bardzo dobre przygotowanie napastników.

https://github.com/axios/axios/issues/10636#issuecomment-4180237789
https://github.com/axios/axios/issues/10636#issuecomment-4180237789

Jak by nie patrzeć, nie bez powodu mówi się, że najsłabszym ogniwem w cyberbezpieczeństwie zawsze był i jest człowiek :)


Avatar
Lip 15

UE testuje aplikację do weryfikacji wieku użytkowników online

Komisja Europejska rozpoczęła pilotaż aplikacji do weryfikacji wieku w pięciu krajach: Danii, Grecji, Hiszpanii, Francji i Włoszech. Narzędzie ma pomóc platformom internetowym w skuteczniejszej ochronie małoletnich i spełnianiu wymogów wynikających z Aktu o usługach cyfrowych (DSA), – informuje Komisja Europejska.
0
Kwi 6

Axios padł ofiarą ataku na łańcuch dostaw

Niedawno branża mierzyła się z incydentem dotyczącym pakietu Litellm w PyPI, a w nocy z 30 na 31 marca hakerzy skompromitowali Axios — jeden z najczęściej używanych klientów HTTP w ekosystemie JavaScript, pobierany ponad 100 milionów razy tygodniowo i wykorzystywany w wielu projektach. Badacze ustalili, że napastnicy opublikowali zainfekowane wersje Axios bezpośrednio w npm, omijając oficjalne repozytorium projektu na GitHubie.
0
Cze 12, 2025

Google rozszerza program dobrowolnych odejść z rekompensatą – obejmuje kolejne zespoły w USA

Google zaoferowało możliwość dobrowolnego odejścia z pracy z wypłatą rekompensaty kolejnym zespołom w Stanach Zjednoczonych. Program VEP (Voluntary Exit Program) objął m.in. dział wiedzy i informacji (K&I), który odpowiada za wyszukiwarkę, reklamy i handel, a także zespoły inżynierii centralnej, marketingu, badań i komunikacji.
0

Ta strona używa plików cookie, aby zapewnić Ci lepsze wrażenia podczas przeglądania.

Dowiedz się więcej o tym, jak używamy plików cookie i jak zmienić preferencje dotyczące plików cookie w naszej Polityka plików cookie.

Zmień ustawienia
Zapisz Akceptuj wszystkie cookies