Een langdurige sting: hoe Noord‑Korea de Axios‑bibliotheek infiltreerde
Op 31 maart werd de veelgebruikte JavaScript‑bibliotheek Axios – een sleutelonderdeel voor talloze web‑ en mobiele apps – tijdelijk gecompromitteerd door een cybergroep die naar verluidt onder de controle van Pyongyang staat. Het incident laat zien hoe een zorgvuldig opgebouwde social‑engineeringcampagne weken kan duren voordat de uiteindelijke infiltratie plaatsvindt.
Stapsgewijze opbouw van vertrouwen
Volgens projectonderhouder Jason Saayman begon de aanval ongeveer twee weken voor het daadwerkelijke binnendringen. De aanvallers creëerden een schijnbaar legitiem bedrijf, richtten een Slack‑werkruimte in en registreerden valse profielen van zogenaamd personeel. Door consistent professioneel gedrag en realistische communicatie wisten ze een geloofwaardige band met Saayman op te bouwen.
Misleidende web‑vergadering en malware‑update
De doorlopende interacties culmineerden in een virtuele meeting waarin Saayman werd aangespoord een zogenaamd software‑update‑bestand te downloaden. Het bestand was gecodeerd als een noodzakelijke patch, maar bevatte een achterdeur die de hackers remote toegang gaf tot zijn computer. Deze tactiek komt overeen met eerdere “fake‑update”‑aanvallen die door Noord‑Koreaanse actor‑groepen werden toegeschreven.
Verspreiding van kwaadaardige Axios‑pakketten
Zodra de aanvallers volledige controle hadden, publiceerden ze twee besmette versies van de Axios‑module op de npm‑registry. De pakketten werden ongeveer drie uur later weer verwijderd, maar niet voordat duizenden ontwikkelaars die in die periode automatische updates hadden ingesteld, mogelijk hun systemen hadden gedownload. De consequenties kunnen variëren van het stelen van privésleutels en inloggegevens tot het uitzetten van later vervolgattacks.
Broader context: cyberfinanciering van het regime
De aanval past binnen een breder patroon waarbij Noord‑Korea, onder internationale sancties, grootschalige cyberoperaties inzet om cryptocurrency te stelen en zo de nucleaire ambities te financieren. Schattingen suggereren dat alleen in 2025 meer dan 2 miljard dollar aan digitale valuta werd weggehijverd door staats‑gesponsorde hackers.
Wat ontwikkelaars kunnen doen
De episode onderstreept het belang van strengere supply‑chain‑beveiliging: verifiëren van ondertekeningen, beperken van automatische updates en het implementeren van multi‑factor authenticatie voor toegang tot ontwikkelomgevingen. Bovendien is het cruciaal om alert te blijven op verdachte communicatie, zelfs wanneer deze afkomstig lijkt van vertrouwde partners.