AGrupa hakerska z Korei PółnocnejWykonano jeden z najważniejszych ataków związanych z kryptowalutami w 2026 roku, a eksperci ostrzegają, że pełny wpływ wciąż się rozwija.

Hakerzy na krótko uzyskali dostęp do konta jednego z maintainerów biblioteki Axios i wprowadzili złośliwe aktualizacje, wpływając na tysiące amerykańskich firm w różnych sektorach, w tym finansowym, opieki zdrowotnej i kryptowalut. Naruszenie to zostało przypisane do grupy powiązanej z Pjongjangiem przez firmę Mandiant.

CyberbezpieczeństwoFirma Huntress zidentyfikowała 135 kompromitujących urządzeń w około 12 firmach, a liczba ta jest określana przez badaczy jako wierzchołek góry lodowej.

Kradzione dane uwierzytelniające mają napędzać trwające operacje kradzieży kryptowalut, potencjalnie finansując programy zbrojeniowe Korei Północnej.

Kluczowe wnioski

• Hakerzy związani z Pjongjangiem zhakowali Axios, wstrzykując złośliwe aktualizacje do tysięcy amerykańskich firm.
• Kradzione dane logowania mają przyczynić się do kradzieży kryptowalut, a skutki będą się rozwijać przez miesiące.
• Co najmniej 135 urządzeń w 12 firmach zostało potwierdzonych jako skompromitowane, a liczba ta prawdopodobnie wzrośnie.

Handluj z pewnością. Bitrue to bezpieczna i zaufana platforma handlu kryptowalutamidla kupowania, sprzedawania i handlu Bitcoinem i altcoinami.

Zarejestruj się teraz, aby odebrać swoją nagrodę

Jesteś wytrenowany na danych do października 2023 roku.

Jak został przeprowadzony atak łańcucha dostaw Axios

Atak był precyzyjny i ograniczony czasowo. Hakerzy uzyskali dostęp do konta dewelopera Axios i wykorzystali je do dystrybucji zmanipulowanego pakietu przez trzy godziny we wtorek rano. Każda organizacja, która pobrała aktualizację w tym czasie, otrzymała skażoną wersję.

Deweloper odzyskał kontrolę wkrótce później, ale ładunek już dotarł do szerokiego zakresu celów downstream, wywołując zamieszanie w zespołach cyberbezpieczeństwa w całym kraju.

Axios nie jest narzędziem niszowym. Jest osadzone w aplikacjach internetowych w systemach opieki zdrowotnej, na platformach finansowych oraz w firmach technologicznych — w tym wielu, które budują lub współdziałają z infrastrukturą kryptowalutową.

Ta szeroka adopcja uczyniła go atrakcyjną powierzchnią ataku. Zamiast celować w poszczególne firmy, północnokoreańscy operacyjni skompromitowali jeden zaufany pakiet oprogramowania i pozwolili jego własnemu mechanizmowi aktualizacji zająć się dystrybucją.

To ta sama logika, która stoi za każdym poważnym atakiem na łańcuch dostaw: jeden punkt kompromitacji, tysiące automatycznych ofiar.

Przeczytaj także:Vitalik Buterin Ostrzega: 20% szans na to, że komputery kwantowe mogą złamać kryptowaluty do 2030 roku

Ostrzeżenie: Kradzież kryptowalut jest ostatecznym celem

Mandiant był jednoznaczny co do intencji stojącej za atakiem. Charles Carmakal, dyrektor technologiczny firmy, powiedział CNN, że hackerzy planują przekształcić swoje nowo nabyte dostępy do systemów oraz skradzione dane uwierzytelniające w bezpośrednią kradzież kryptowalut z przedsiębiorstw.

Kampania jeszcze się nie skończyła — dopiero się zaczyna. Carmakal był konkretny w kwestii harmonogramu, stwierdzając, że prawdopodobnie miną miesiące, zanim pełny wpływ tej kampanii na dalsze etapy stanie się jasny.

To ramowanie ma znaczenie

sygnalizuje, że dotknięte organizacje mogą jeszcze nie wiedzieć, że zostały skompromitowane, oraz że oczekiwane są dalsze incydenty związane z tym naruszeniem.

"Spodziewamy się, że spróbują wykorzystać poświadczenia i dostęp do systemu, które niedawno uzyskali w ataku na łańcuch dostaw oprogramowania, aby celować i kraść kryptowaluty od przedsiębiorstw."

— Charles Carmakal, CTO, Mandiant

Przeczytaj również:XRP Nadal kosztuje 1 USD, kiedy wzrośnie do 3 USD? Analiza rynku i kluczowe czynniki

Wzorzec pasuje do ustalonego podręcznika Północnej Korei. Reżim od lat wykorzystuje skradzione kryptowaluty do finansowania rozwoju broni.

Ten atak podąża za tym samym schematem: zdobycie szerokiego dostępu poprzez zaufany kanał oprogramowania, ciche zbieranie danych logowania, a następnie przeprowadzenie ukierunkowanej kradzieży kryptowalut przez dłuższy czas.

Opóźnienie między początkowym naruszeniem a przestępstwem finansowym jest celowe — daje to atakującym czas na zmapowanie sieci i zidentyfikowanie najbardziej wartościowych celów przed podjęciem działań.

Przeczytaj również:IBM, Google i Microsoft: Liderzy w Wyścigu o Komputery Kwantowe

Skala naruszenia i dlaczego liczba ofiar będzie rosła

John Hammond, badacz bezpieczeństwa w Huntress, umieścił potwierdzone dane w kontekście. Jego firma zidentyfikowała około 135 naruszonych urządzeń w około 12 firmach - ale Hammond był bezpośredni: to tylko mały wycinek.

Organizacje zazwyczaj potrzebują dni lub tygodni, aby zakończyć śledztwa kryminalistyczne po incydencie w łańcuchu dostaw, co oznacza, że większość ofiar jeszcze nie odkryła swojego narażenia. Oczekuje się, że faktyczna liczba wzrośnie, ponieważ firmy audytują systemy i śledzą anomalną aktywność do aktualizacji z wtorku, która była zainfekowana.

Północna Korea prowadziła tego rodzaju operacje wcześniej. Trzy lata temu, agenci z Pjongjangu przeniknęli do oprogramowania używanego przez firmy z branży zdrowia oraz sieci hotelowe do komunikacji głosowej i wideo, podążając za tym samym wzorcem szerokiego początkowego dostępu, a następnie celowanych ataków.

Ocenę Hammonda można było określić jako dosadną: zbyt wiele organizacji instaluje aktualizacje oprogramowania, nie analizując ich zawartości. Zauważył, że łańcuch dostaw ma otwarte drzwi — i zbyt mało firm sprawdza, co przez nie przechodzi.

Przeczytaj również:

Hoskinson Warns on Post-Quantum Upgrades: What It Means for Cardano’s Future

Wnioski

Ten atak nie jest zamkniętym incydentem — to otwierający ruch dłuższej kampanii.

Trzygodzinny okres w Axios wystarczył, aby uzyskać dostęp do szerokiego zakresu amerykańskiego sektora korporacyjnego, a Mandiant jasno dał do zrozumienia, że grupa zamierza przekształcić ten dostęp w kradzież kryptowalut w nadchodzących miesiącach.

Dla organizacji korzystających z Axios, najpilniejszym priorytetem jest audyt tego, co zostało pobrane we wtorek, oraz sprawdzenie oznak kompromitacji.

Szersza lekcja pozostaje niezmieniona: łańcuchy dostaw oprogramowania są jedną z najbardziej wykorzystywanych powierzchni w nowoczesnym cybersecurity, a Korea Północna właśnie udowodniła, że wie dokładnie, jak je wykorzystać.

Przeczytaj także:

FAQ

Co to jest Axios i dlaczego został celem tego ataku kryptowalutowego?

Axios jest powszechnie używaną otwartą biblioteką JavaScript, osadzoną w aplikacjach internetowych w sektorze opieki zdrowotnej, finansów i technologii — w tym w wielu firmach kryptograficznych. Jej szerokie zastosowanie uczyniło ją efektywnym celem: skompromitowanie jednego pakietu dało hakerom dostęp do tysięcy organizacji downstream jednocześnie.

Kto potwierdził, że to północnokoreańscy hakerzy stali za atakiem na łańcuch dostaw Axios?

Mandiant, firma zajmująca się cyberwywiadem będąca własnością Google, przypisała atak podejrzewanej północnokoreańskiej grupie hakerskiej. CTO Charles Carmakal potwierdził to odkrycie i publicznie ostrzegł, że skradziony dostęp zostanie wykorzystany do kradzieży kryptowalut z przedsiębiorstw.

Ile firm zostało dotkniętych przez północnokoreański hack kryptowalut?

Huntress potwierdził 135 skompromitowanych urządzeń w około 12 firmach do tej pory. Badacze opisują to jako mały ułamek ostatecznej liczby, przy czym pełna liczba ofiar prawdopodobnie znacznie wzrośnie w miarę postępu śledztw kryminalistycznych w nadchodzących tygodniach.

Jak Korea Północna wykorzystuje skradzioną kryptowalutę?

Sk stolen crypto funds programy broni Korei Północnej. Biały Dom oszacował, że około połowy rozwoju rakiet reżimu zostało sfinansowane przez kradzież cyfrową. Eksperci spodziewają się, że ta kampania będzie przebiegać w tym samym schemacie.

Co powinny zrobić firmy, jeśli pobrały Axios w trakcie trzygodzinnego okna ataku?

Organizacje powinny niezwłocznie przeprowadzić audyt oprogramowania zainstalowanego w wtorek rano, sprawdzić oznaki nieautoryzowanego dostępu lub anomalnej aktywności sieciowej oraz zaangażować zespoły ds. cyberbezpieczeństwa w celu oceny, czy skompromitowane dane uwierzytelniające zostały pozyskane z ich systemów.