Jason Saiman, główny maintainer Axios, podzielił się szczegółami tego, jak dokładnie został zhakowany

Jason Saiman, główny maintainer Axios, podzielił się szczegółami tego, jak dokładnie został zhakowany

Pamiętacie, że niedawno napastnicy zhakowali Axios — jeden z najpopularniejszych klientów HTTP w świecie JavaScriptu?

Tak więc niedawno Jason Saiman, główny maintainer Axios, opublikował post-mortem tego, jak udało się go złamać.

Jak to się stało Hakerzy nie szukali żadnych podatności typu zero-day, nie łamali infrastruktury GitHuba i nie odszyfrowywali ruchu. Po prostu zastosowali bardzo dobrze przygotowaną, kosztowną i dopracowaną w najmniejszych szczegółach socjotechnikę. Napastnicy skontaktowali się z Jasonem, podszywając się pod założyciela całkowicie realnej firmy. W pełni skopiowali jego tożsamość, markę i zaprosili Saimana do specjalnie przygotowanego fałszywego workspace’u w Slacku.

Ten workspace był przygotowany bardzo wiarygodnie. Były tam aktywne kanały z fałszywymi pracownikami, repostowano rzeczywiste wpisy firmy z LinkedIna, omawiano różne procesy pracy. Stworzyli nawet fałszywe profile innych znanych contributorów open source, żeby całkowicie uśpić czujność. Jeśli kiedyś oglądaliście „The Truman Show”, możecie mieć tutaj skojarzenia :)

Dalej nastąpił etap bezpośredniego kontaktu. Jasonowi zaplanowano wideorozmowę w Microsoft Teams, rzekomo w celu poznania zespołu. Dołącza do spotkania, widzi grupę osób prowadzących profesjonalną rozmowę i jego poziom krytycznego myślenia naturalnie spada. I właśnie w tym momencie następuje kulminacja. W trakcie rozmowy informują go, że w jego systemie brakuje komponentu potrzebnego do poprawnego działania albo wyświetlania połączenia. Otrzymuje plik i jako deweloper, będąc przekonanym, że to zwykła aktualizacja Teams, instaluje go ręcznie na swojej maszynie.

Ten plik okazał się trojanem. Wszystko — game over. Po uzyskaniu dostępu do jego komputera hakerzy przejęli jego lokalne sesje oraz tokeny npm. To właśnie pozwoliło im opublikować backdoora w wersjach Axios bezpośrednio w rejestrze pakietów, omijając wszystkie automatyczne kontrole kodu i proces review na GitHubie.

Oto tak po prostu. Dewelopera krytycznego narzędzia, od którego zależy duża część światowego webu, zhakowano przez zwykłą ufność i bardzo dobre przygotowanie napastników.

https://github.com/axios/axios/issues/10636#issuecomment-4180237789
https://github.com/axios/axios/issues/10636#issuecomment-4180237789

Jak by nie patrzeć, nie bez powodu mówi się, że najsłabszym ogniwem w cyberbezpieczeństwie zawsze był i jest człowiek :)


Avatar
Jul 25

Intel wstrzymuje projekty produkcyjne w Europie i przeprowadza kolejne layoffy

W drugim kwartale 2025 roku Intel ogłosił rezygnację z kolejnych projektów produkcyjnych w ramach planu restrukturyzacji wdrażanego przez nowego CEO, Lip-Bu Tana – informuje TechCrunch. Firma potwierdziła, że nie będzie kontynuować wcześniej zapowiedzianych inwestycji w Niemczech i Polsce. Dotyczy to fabryki układów scalonych w Magdeburgu oraz centrum montażu i testowania w okolicach Wrocławia. Oba projekty pozostawały zawieszone od 2024 roku.
0
Apr 23, 2025

Komisja Europejska nakłada 500 mln euro grzywny na Apple i 200 mln na Metę za naruszenia DMA

Apple ma zapłacić 500 milionów euro, a Meta – 200 milionów euro w związku z naruszeniem unijnego aktu o rynkach cyfrowych (DMA) - informuje Reuters. To pierwsze kary nałożone przez Komisję Europejską w ramach tego aktu. Obie firmy mają dwa miesiące na dostosowanie się do przepisów, w przeciwnym razie mogą zostać obciążone dziennymi karami.
0
Feb 28, 2024

Zwolnienia grupowe w Infosys Poland

O zwolnieniu 250 pracowników napisał anonimowy czytelnik na jednym z portalu.
0

This site uses cookies to offer you a better browsing experience.

Find out more on how we use cookies and how to change cookie preferences in our Cookies Policy.

Customize
Save Accept all cookies