熱門軟體套件Axios疑遭北韓網攻　衝擊恐廣泛

（中央社首爾1日綜合外電報導）Google等公司的資安專家今天警告，受廣泛使用卻不太知名的軟體套件Axios昨天遭攻擊，駭客疑與北韓有關。這套技術工具每週有數千萬次開發人員下載，這起網攻影響恐深遠。

法新社報導，Google（谷歌）的威脅情報平台Google Threat Intelligence發布貼文指出，發動攻擊的是「與北韓有關聯的行動者」，而由於其他受歡迎的軟體套件也依賴Axios，因此這起網攻帶來的衝擊「範圍廣泛，具有連鎖效應」。

Google警告，這波攻擊可能導致數十萬筆遭竊機密在外流傳，進而使得其他網路攻擊事件可能發生，例如勒索軟體、敲詐或加密貨幣竊盜。

彭博（Bloomberg News）報導，Axios是程式設計師用來向伺服器發出請求，好讓軟體能連上網路。

Google形容Axios是「最受歡迎的JavaScript函式庫，用來簡化HTTP請求」。這塊程式設計幕後部分是所謂「供應鏈攻擊」的目標。

Google表示，這次攻擊所使用的工具，與先前一些攻擊的工具有足夠相似度，先前的攻擊被指是與北韓有關聯的威脅行為者（threat actor）所發動，其至少從2018年開始活躍，動機是金錢。

另有幾家資安公司今天也發布對這起網攻的分析。其中Elastic Security Labs指出，他們懷疑發動者是1個「與北韓有關的威脅群體」，駭客先取得負責管理Axios專案的帳號控制權，再上傳2個被植入後門的軟體套件版本。

StepSecurity等資安公司則警告，已安裝這2個版本的開發人員應該假設他們的系統已經遭到入侵。（編譯：張正芊）1150401