Noord-Koreaanse hackers hebben een grootschalige cyberaanval uitgevoerd op ontwikkelaars van veelgebruikte softwarepakketten. Ze gebruikten AI-deepfakes om ontwikkelaars te misleiden. Het populaire npm-pakket axios werd kort besmet met malware. Axios wordt wekelijks zo’n 100 miljoen keer gedownload en is actief in ongeveer 80% van alle cloud- en codeomgevingen.
De aanval werkte via een geraffineerde social engineering-truc. Hackers deden zich voor als bedrijfsoprichters en nodigden ontwikkelaars uit in nep-Slack-werkruimtes. Die zagen er professioneel en overtuigend uit. Daarna volgde een videovergadering via Microsoft Teams. In die vergadering verschenen AI-deepfakes van echte managers. De vergadering suggereerde een technisch probleem. Zo verleidde men de ontwikkelaar om schadelijke software te installeren. Die software bleek een Remote Access Trojan te zijn.
Hoofontwikkelaar Jason Saayman beschreef hoe hij zelf het slachtoffer werd. Hij installeerde de malware omdat alles er volledig legitiem uitzag. Ondanks tweefactorauthenticatie raakten de aanvallers toch zijn account binnen. De besmette versies van axios werden binnen drie uur verwijderd. Toch waarschuwde Google voor mogelijke grote gevolgen. Beveiligingsbedrijf Wiz ontdekte de malware al in 3% van de gescande omgevingen.
Het blijkt geen eenmalig incident te zijn. Meerdere beheerders van populaire Node.js-pakketten meldden zich met vergelijkbare ervaringen. Ook medewerkers van beveiligingsplatform Socket werden aangevallen, inclusief de CEO. Experts spreken van een gecoördineerde aanvalscampagne gericht op ontwikkelaars met veel invloed en een hoog vertrouwen binnen de open source-gemeenschap.
