北韓駭客入侵Axios只是開局 最終目標洗劫企業加密貨幣資助核計畫
人工智慧代理平台「OpenClaw」爆紅之際,卻意外捲入資安風暴。北韓駭客組織入侵廣泛使用的開源程式庫Axios,在39分鐘內連發2個惡意版本套件,可遠端操控受感染裝置、竊取系統資料。專家警告,這可能只是供應鏈攻擊的起點,駭客真正目標是要竊取企業的加密貨幣資產,資助北韓核武與飛彈計畫。
近期在人工智慧社群中,一個俗稱為「小龍蝦」的人工智慧代理程式「OpenClaw」席捲全球。OpenClaw是於去年11月推出的一款開源AI代理(AI Agent)平台,因其標誌為紅色龍蝦,被俗稱「小龍蝦」。他有別於聊天機器人,而是能像真人一樣直接操作電腦的自動化助理,可協助清空收件匣、發送電子郵件、管理行事曆、辦理航班報到等日常事務。簡單來說,OpenClaw就像是一個「可以真正替你做事的AI助理」。
然而,中國區塊鏈安全公司「慢霧科技」(SlowMist)創辦人余弦3月31日示警,OpenClaw最新3.28版可能引入了遭投毒的Axios套件。Axios是一個基於Promise的HTTP用戶端(HTTP Client)程式庫,專門用來在瀏覽器或Node.js環境中發送網路請求,例如從伺服器取得資料或上傳資料。
而Axios為了實現抓資料、送資料、更新資料、刪資料,很常使用HTTP請求套件。npm是一個Node.js預設的JavaScript套件管理工具,它幫助開發者下載、安裝、管理和分享專案所需的程式碼套件,也可想像成JavaScript的「套件管理員」。
Axios被入侵!39分鐘連發2惡意版本 可遠端操控、竊系統資料
根據安全研究機構Socket的調查報告,Axios的npm套件維護者的帳號於3月30日遭到入侵,攻擊者疑似透過一組長期未撤銷的npm token取得帳號控制權,在39分鐘內接連發布了針對macOS、Windows和Linux系統的2個惡意版本的套件:axios@1.14.1與axios@0.30.4。一旦使用這2個版本套件,plain-crypto-js@4.2.1這個惡意套件就會被偷偷植入到電腦中。
當用戶中招后,駭客能夠執行任何指令、竊取系統資料,並長期存在於受感染的電腦。
雖然這些惡意版本套件在3個小時內就被移除,但谷歌威脅情報小組(Google Threat Intelligence Group)首席分析師霍奎斯特(John Hultquist)表示,由於該套件被廣泛使用,這起事件可能帶來深遠影響。
Axios只是第一步!北韓駭客鎖定帳密 下一步直攻企業加密貨幣
谷歌(Google)的研究人員3月31日表示,本起駭客活動的幕後黑手可能是北韓駭客組織「UNC1069」。該組織過去曾攻擊加密貨幣和去中心化金融公司。負責應對這起駭客攻擊的專家告訴CNN,他們預期這將是一場長期行動,目的是竊取加密貨幣,為北韓政權提供資金,而這些資金通常會被用在核武與飛彈計畫上。
美國有線電視新聞網報導(CNN),隸屬於谷歌的美國資安公司麥迪安(Mandiant)技術長卡瑪卡(Charles Carmakal)3月31日表示,「我們預期,他們會利用這次軟體供應鏈攻擊中取得的帳密與系統存取權,進一步鎖定企業並竊取加密貨幣。」並補充,「要評估這場行動在下游造成的影響,很可能需要數個月時間。」
這只是北韓方面最新一起的大規模供應鏈攻擊。根據聯合國和私營公司的報告,北韓駭客在過去幾年已從銀行和加密貨幣公司竊取數十億美元。一名白宮官員在2023年表示,北韓約有一半的飛彈計畫資金,都是來自這類數位竊盜。
影響恐失控! Axios存在80%環境中 恐現「長尾風險」
該駭客組織於3月31日早上長達3小時內,取得了負責管理開源軟體Axios的開發者帳號存取權。駭客利用這段時間,向所有在此期間下載該軟體的組織發送惡意更新,讓開發者急忙試圖重新奪回帳號控制權,全國各地的資安主管也忙著評估損害情況。幾乎涵蓋各個產業的公司,從醫療到金融,以及加密貨幣公司,都使用Axios來簡化網站的建置與管理。
網路安全公司Wiz估計,Axios每週大約被下載1億次,並存在於約80%的雲端與程式開發環境中。到目前為止,Wiz在其掃描的環境中,大約在3%的環境裡觀察到這些惡意版本。
網路安全平台Huntress研究員哈蒙德(John Hammond)表示,他們已經辨識出大約135台受感染裝置,來自約12家公司,但這只是整體受害者的一小部分,隨著更多組織發現自己遭到入侵,受害規模預計還會大幅增加。由此可見,即使惡意套件已被移除,仍可能在下游專案中長時間存在。