Pamiętacie, że niedawno napastnicy zhakowali Axios — jeden z najpopularniejszych klientów HTTP w świecie JavaScriptu?

Tak więc niedawno Jason Saiman, główny maintainer Axios, opublikował post-mortem tego, jak udało się go złamać.

Jak to się stało Hakerzy nie szukali żadnych podatności typu zero-day, nie łamali infrastruktury GitHuba i nie odszyfrowywali ruchu. Po prostu zastosowali bardzo dobrze przygotowaną, kosztowną i dopracowaną w najmniejszych szczegółach socjotechnikę. Napastnicy skontaktowali się z Jasonem, podszywając się pod założyciela całkowicie realnej firmy. W pełni skopiowali jego tożsamość, markę i zaprosili Saimana do specjalnie przygotowanego fałszywego workspace’u w Slacku.

Ten workspace był przygotowany bardzo wiarygodnie. Były tam aktywne kanały z fałszywymi pracownikami, repostowano rzeczywiste wpisy firmy z LinkedIna, omawiano różne procesy pracy. Stworzyli nawet fałszywe profile innych znanych contributorów open source, żeby całkowicie uśpić czujność. Jeśli kiedyś oglądaliście „The Truman Show”, możecie mieć tutaj skojarzenia :)

Dalej nastąpił etap bezpośredniego kontaktu. Jasonowi zaplanowano wideorozmowę w Microsoft Teams, rzekomo w celu poznania zespołu. Dołącza do spotkania, widzi grupę osób prowadzących profesjonalną rozmowę i jego poziom krytycznego myślenia naturalnie spada. I właśnie w tym momencie następuje kulminacja. W trakcie rozmowy informują go, że w jego systemie brakuje komponentu potrzebnego do poprawnego działania albo wyświetlania połączenia. Otrzymuje plik i jako deweloper, będąc przekonanym, że to zwykła aktualizacja Teams, instaluje go ręcznie na swojej maszynie.

Ten plik okazał się trojanem. Wszystko — game over. Po uzyskaniu dostępu do jego komputera hakerzy przejęli jego lokalne sesje oraz tokeny npm. To właśnie pozwoliło im opublikować backdoora w wersjach Axios bezpośrednio w rejestrze pakietów, omijając wszystkie automatyczne kontrole kodu i proces review na GitHubie.

Oto tak po prostu. Dewelopera krytycznego narzędzia, od którego zależy duża część światowego webu, zhakowano przez zwykłą ufność i bardzo dobre przygotowanie napastników.

Jak by nie patrzeć, nie bez powodu mówi się, że najsłabszym ogniwem w cyberbezpieczeństwie zawsze był i jest człowiek :)