Джейсон Сайман, головний мейнтейнер Axios, поділився деталями того, як саме його хакнули
Пам’ятаєте нещодавно зловмисники хакнули Axios — один з найпопулярніших HTTP-клієнтів у світі?
Так от, нещодавно Джейсон Сайман, головний мейнтейнер Axios, запостив пост-мортем того, як його змогли зламати.
Як все відбулося
Хакери не шукали якихось zero-day вразливостей, не ламали інфраструктуру GitHub і не розшифровували трафік. Вони просто застосували дуже якісну, дорогу і до дрібниць продуману соціальну інженерію. Зловмисники вийшли на Джейсона, замаскувавшись під засновника цілком реальної компанії. Вони повністю скопіювали особистість керівника, бренд і запросили Саймана у спеціально створений фейковий Slack.
Цей воркспейс був налаштований просто ідеально. Там були активні канали з фейковими співробітниками, туди репостили реальні записи компанії з LinkedIn, там обговорювали якісь робочі процеси. Вони навіть створили фейкові профілі інших відомих open-source контриб’юторів, щоб остаточно приспати підозри. Якщо дивилися колись «Шоу Трумана», то можливо ви зараз зловите пару флешбеків :)
Далі настав етап безпосереднього контакту. Джейсону призначили відеодзвінок у Microsoft Teams нібито для знайомства з командою. Він підключається до мітингу, бачить групу людей, які ведуть професійну бесіду, і його рівень критичного мислення цілком природно падає. І саме в цей момент відбувається кульмінація. Під час розмови йому повідомляють, що у нього в системі бракує якогось компонента для нормального відображення чи роботи зв’язку. Йому підкидають файл, і розробник, будучи впевненим, що це банальний апдейт для Teams, власноруч встановлює його на свою робочу машину.
І цим файлом виявився троян. Все, game over. Отримавши доступ до його комп’ютера, хакери витягли його локальні сесії та токени від npm. Саме це дозволило їм опублікувати бекдор у версіях Axios напряму в реєстр пакетів, спокійно оминувши всі автоматичні перевірки коду та рев’юери на GitHub.
Ось так просто. Розробника критичного інструменту, від якого залежить половина світового вебу, зламали через звичайну довірливість і круту підготовку зловмисників.
Як не крути, але не дарма ж кажуть, що найслабша ланка в кібербезпеці — це завжди була і є людина :)
8 коментарів
Додати коментар Підписатись на коментаріВідписатись від коментарівКоротше правило залишилось тим же
— не качай і не став незнамо що, хто б тобі це не пропонував.
Просять оновитись? Йдеш на офіційний сайт, і там береш оновлення.
І тд
бо відеодзвінки зло )
чим краще як спеціаліст я стаю тим більше питань в мене як безпечно керувати доступами
ось приклад — один sudo-вірус і для твоїх персональних токенів настає комунізм
причому навіть якісь залізні рішення не допоможуть, так як для авторизації всеодно потрібно «читати» а якщо ключ можна прочитати то його і віруси зіллють легко
і саме погане що у вас в компанії може бути непробивний захист. но хакери вийдуть на СЕО і через нього колупнуть систему (самий частий кейс)
то що писано в статті взагалі вищий клас і я навіть не знаю як від такого уберегтись, соціальна інженерія працює в потоці а не шаблонами, тому якщо захочуть то хакнут с таким то рівнем підготовки
Ізоляцією середовищ. Робота на різних замовників і над особистими проєктами — з різних фізичних або віртуальних машин.
то щось на багатому ви кажете
з точки зору рядового розробника ОК. це навіть звичайна практика коли на роботі видають вже налаштованний ноут.
но ось с точки зору ключевих спеціалістів як бути? у тебе просто повинен бути доступ до всього, це твоя праця. розкидувати на різні машини це не практично і тупо (і не спрацюе якщо е часті операції переносу)
зараз не уйти від того що в твоїй системі безпеки обов’язково буде ланка, компрементація якої компроментуе весь ланцюг.
найкраще шо е на зараз це адмін-панелі від хостерів і тд — тому що у них своя безпека і якщо тебе зламають то без otp і так далі нічого не зроблять якщо налаштовано правильно. тобто нема прямого доступу взагалі тільки через сторонне рішення де воно стоїть. но тут вже інше — тут легше тоді колупати одразу хостера і вистачае історій «наш амазон взламали» і тд.
тобто весь захист тільки на рівні невідомості — поки хакери не знають точно куди краще атакувати, ти в беспеці 50/50 (як пощастить) но якщл знають то все, тут вже залежить від рівня тих хто ламае
Дніпровські коллцентри виходять на новий рівень
Чудовий детектив. Хакери — завзяті генії. Розвод — на «5» :)
Це шедевр. Засуджую хакерів за їхні дії, але це красиво й геніально