上周一,朝鲜发动的网络攻击短暂劫持了网络上最广泛使用的开源项目之一——Axios。这次攻击是一个长期行动的一部分,针对该项目的顶级开发者,策划过程持续了数周。
3月31日,Axios项目被劫持部分成功,原因在于攻击者是资源充足的黑客,他们通过长时间建立关系和信任,增加了最终成功入侵的可能性。这类攻击凸显了流行开源项目开发者面临的安全挑战,尤其是在政府黑客和网络犯罪分子都将广泛使用的项目作为目标,以便访问全球数百万设备的背景下。
Axios项目维护者Jason Saayman发布了事件的详细时间线。他透露,黑客在最终控制他的电脑并推送恶意代码前,已经开始了约两周的针对行动。
黑客通过冒充真实公司,创建逼真的Slack工作区,并使用伪造的员工资料来建立可信度。Saayman表示,疑似朝鲜黑客随后邀请他参加网络会议,诱使他下载伪装成必要更新的恶意软件以访问通话。该诱饵模仿了朝鲜黑客常用的手法,诱骗受害者授予远程访问权限,通常目的是窃取加密货币。
Saayman指出,这次攻击模仿了谷歌安全研究人员归因于朝鲜的早期黑客行为。
黑客控制并远程访问Saayman的电脑后,发布了恶意更新到Axios项目。
这两个恶意Axios软件包在发布后三小时内被撤回,但在此期间可能感染了数千台系统。任何在此期间安装了恶意版本软件的电脑,都可能使黑客窃取私钥、凭证和密码,进而导致更多安全漏洞。
Saayman尚未对相关事件的询问做出回应。
朝鲜黑客仍是当今互联网最活跃的网络威胁之一,仅2025年就被指控窃取了超过20亿美元的加密货币。
金正恩政权因违反核武器开发禁令而受到国际制裁,并被禁止进入全球金融网络。该国主要通过发动网络攻击和窃取加密货币为其核计划筹资。
据悉,朝鲜拥有数千名高度组织化的黑客,其中大多数在金正恩政权的压迫下被迫工作。这些黑客花费数周甚至数月时间,执行复杂的社会工程攻击,旨在建立信任并最终获得访问权限,以窃取加密货币和数据进行勒索。
