【安全资讯】Axios npm 软件包遭朝鲜黑客组织UNC1069供应链攻击，利用虚假Teams更新植入跨平台RAT

概要：

近日，流行的HTTP客户端库Axios的npm软件包遭恶意版本注入，引发了一场严重的供应链攻击。此次攻击由朝鲜黑客组织UNC1069精心策划，通过高度仿真的社交工程手段，成功劫持了项目维护者账户。攻击者利用虚假的Microsoft Teams更新提示，诱骗维护者安装远程访问木马（RAT），进而窃取凭证并发布恶意软件包，对全球依赖该库的开发者构成了广泛威胁。

主要内容：

此次攻击始于一场针对Axios项目首席维护者Jason Saayman的定向社交工程攻击。攻击者克隆了一家合法公司的品牌形象，创建了高度仿真的Slack工作区，并邀请维护者加入。该工作区内设有逼真的频道、伪造的员工档案以及冒充其他开源维护者的虚假个人资料，旨在建立信任。

在建立联系后，攻击者安排了一场看似有多人参与的Microsoft Teams会议。会议期间，屏幕上显示了一个虚假的技术错误，提示系统组件过时，需要安装一个“Teams更新”来修复。然而，这个所谓的更新实际上是WAVESHAPER.V2 RAT恶意软件，它能在macOS、Windows和Linux系统上运行，为攻击者提供了对维护者设备的远程访问权限，从而窃取了Axios项目的npm发布凭证。

攻击者随后利用窃取的凭证，向npm注册表发布了两个恶意版本的Axios（1.14.1和0.30.4）。这些版本注入了一个名为`plain-crypto-js`的恶意依赖项，该依赖项会在安装时部署RAT。恶意版本在npm上存在了约三个小时，期间安装它们的系统应被视为已遭入侵。

Google威胁情报小组（GTIG）将此攻击归因于朝鲜黑客组织UNC1069。该组织至少自2018年以来一直活跃，以经济利益为动机。攻击手法与此前针对加密货币公司的活动相似，均利用社交工程绕过多因素认证（MFA），并通过RAT部署后门、下载器和信息窃取程序，以盗取凭证、浏览器数据和会话令牌等敏感信息。此次事件凸显了针对高价值开源维护者的供应链攻击正变得日益普遍和复杂。