Une attaque par ingénierie sociale de type ClickFix est à l’origine de la compromission du compte du mainteneur d’Axios. Voici ce que l’on sait sur le déroulement de cette cyberattaque ayant permis de distribuer un Cheval de Troie d’accès à distance (RAT).

Souvenez-vous, il y a quelques jours, le compte du mainteneur d’Axios, un client HTTP téléchargé plus de 80 millions de fois par semaine sur NPM, a été compromis. Cet accès a permis aux pirates de publier deux versions malveillantes destinées à distribuer un malware de type RAT (Remote Access Trojan). La dépendance malveillante nommée a été ajoutée au paquet Axios. Ces versions infectées (versions 1.14.1 et 0.30.4) sont restées en ligne pendant 3 heures.

Une ingénierie sociale poussée à l’extrême

Oubliez les e-mails de phishing bourrés de fautes d’orthographe. L’attaque ayant mené à la compromission du compte du développeur d’Axios est plus sophistiquée, même si elle repose sur des mécanismes bien connus, comme la technique ClickFix. Le groupe de pirates UNC1069, affilié à la Corée du Nord, a orchestré une attaque ultra-ciblée contre Jason Saayman, le mainteneur principal du projet Axios.

Les cybercriminels ont pris le temps d’instaurer un véritable climat de confiance sur plusieurs semaines. Dans le post-mortem publié sur GitHub par Jason Saayman lui-même, la stratégie mise au point par les pirates a été présentée.

“Ils ont adapté ce processus spécifiquement pour moi en procédant de la manière suivante : ils m’ont contacté en se faisant passer pour le fondateur d’une entreprise dont ils avaient usurpé l’image ainsi que l’entreprise elle-même. Ils m’ont ensuite invité sur un véritable espace de travail Slack.”

Ils ont tout fait pour que Jason Saayman se sente à l’aise sur cet espace Slack : chartes graphiques respectées, canaux de discussions actifs partageant des publications LinkedIn, et de faux profils impliquant d’autres mainteneurs de projets open source. Un climat de confiance s’est instauré, de quoi passer à l’étape numéro deux du plan : une réunion de présentation planifiée sur Microsoft Teams.

L’attaque ClickFix via Microsoft Teams

Le jour de cette fameuse réunion organisée sur Microsoft Teams par les pirates, tout semblait normal. Il y avait plusieurs participants, dont les cybercriminels et Jason Saayman en lui-même.

Toutefois, à un moment donné, Microsoft Teams a affiché un faux message d’erreur comme quoi un composant n’était pas à jour. Ce message a été certainement affiché via la fonction de partage d’écran. Vous voyez où je veux en venir ? Un bel exemple de ClickFix sophistiqué !

“L’outil de réunion indiquait que quelque chose sur mon système n’était pas à jour. J’ai installé l’élément manquant, présumant que c’était lié à Teams, et c’était le RAT.”, précise le mainteneur d’Axios.

Ce “correctif” était en réalité un installeur qui a déployé la porte dérobée WAVESHAPER.V2, d’après un rapport de Google Threat Intelligence Group. Ce qu’il faut bien comprendre, c’est que Jason Saayman a installé le malware lui-même sur sa machine. Une fois celle-ci compromise, les pirates ont dérobé les jetons de session de Jason Saayman (ce qui permet de bypasser le MFA).

Ils ont pu prendre le contrôle de son compte npm, remplacer son adresse e-mail par une adresse ProtonMail gérée par leurs soins, et ont préparé le terrain pour déployer les versions infectées d’Axios.

Il est à noter que cette attaque par ingénierie sociale a été orchestrée deux semaines avant le déploiement des versions malveillantes d’Axios.

Source