Bron: Security.NL
Een veelgebruikte softwarebibliotheek is gecompromitteerd nadat aanvallers de hoofdontwikkelaar hebben misleid om schadelijke software te installeren. Volgens Security.NL is de primaire beheerder van de Axios npm-bibliotheek het slachtoffer geworden van een zogenaamde ClickFix social engineering-aanval, waardoor aanvallers schadelijke versies van de bibliotheek konden publiceren met daarin een remote access trojan (RAT).
Volgens Security.NL deden aanvallers zich voor als een bedrijfsoprichter door echte profielgegevens en contactinformatie te kopiëren. Vervolgens nodigden zij de Axios-beheerder uit in een overtuigende nep-Slack-werkruimte, compleet met verzonnen LinkedIn-links en wat vermoedelijk neppe profielen van andere open source-ontwikkelaars waren.
Daarna regelden de aanvallers een Microsoft Teams-vergadering. Tijdens die vergadering kreeg de beheerder een melding te zien dat software op zijn systeem verouderd was en geïnstalleerd moest worden. Hij volgde de instructie op. De software was geen update. Het was een remote access trojan.
Eenmaal geïnstalleerd gaven de aanvallers via de RAT toegang tot het systeem van de beheerder. Volgens Security.NL konden zij vervolgens sessiecookies, tokens en andere inloggegevens stelen. De aanvallers gebruikten deze toegang om schadelijke versies van de Axios-bibliotheek te publiceren.
Axios is een HTTP-clientbibliotheek die door applicaties wordt gebruikt voor het afhandelen van webverzoeken vanuit browsers en Node.js-omgevingen. Volgens Security.NL ontvangt de bibliotheek meer dan honderd miljoen wekelijkse downloads op npmjs.com. Die schaal betekent dat een gecompromitteerde versie zeer snel een groot aantal systemen kan bereiken.
Het is niet bekend hoeveel gebruikers de schadelijke versies hebben gedownload, hoe lang die versies beschikbaar waren, of dat er downstream-gebruikers zijn bevestigd die daadwerkelijk door de RAT zijn getroffen.
Dit type aanval, waarbij criminelen een overtuigende nep-identiteit en nep-werkruimte opbouwen om iemands vertrouwen te winnen voordat ze malware afleveren, is een herinnering dat dreigingen niet altijd via voor de hand liggende routes binnenkomen zoals phishing-e-mails. Een professioneel ogende Slack-werkruimte en een Teams-vergadering kunnen voldoende zijn.
Als uw website of webapplicatie gebruikmaakt van softwarebibliotheken van derden, zelfs bekende, is het de moeite waard om te weten waar die bibliotheken vandaan komen en of uw ontwikkelaar of hostingprovider controleert op gecompromitteerde afhankelijkheden. U hoeft de technische details niet zelf te begrijpen, maar uw ontwikkelaar vragen "controleren wij op beveiligingsproblemen in de bibliotheken die wij gebruiken?" is een redelijke vraag. Voor een breder overzicht van stappen die u kunt nemen, zie onze beveiligingschecklist voor kleine bedrijven en onze gids over kwetsbare plugins.
Gratis websitescan voor AVG, auteursrecht, toegankelijkheid, beveiliging en meer.
Gratis scan startenVolgens Security.NL is er een nieuwe beveiligingskwetsbaarheid ontdekt in cPanel en WHM, twee veelgebruikte tools voor het beheren van webhostingaccounts en servers. De kwetsbaarheid, aangeduid als CV
Het Britse National Cyber Security Centre (NCSC) heeft organisaties en gebruikers naar verluidt gewaarschuwd voor een ongekende golf aan kwetsbaarheden, aangedreven door AI-tools die in staat zijn om
Een adviespagina van het NCSC-NL, het Nationaal Cyber Security Centrum, was onlangs toegankelijk maar toonde alleen een doorverwijzing zonder inhoudelijke informatie. De pagina in kwestie draagt de re