Севернокорейска кибератака в края на март временно компрометира един от най-използваните проекти с отворен код в интернет – Axios. Този случай е не само пореден пробив от севернокорейски хакери, но и показва новото ниво на координация, целенасоченост и социално инженерство, с което действат подкрепените от държавата групи, съобщава TechCrunch.

Инцидентът се случва на 31 март, но подготовката започва седмици по-рано. Според поддържащия проекта Джъстин Сайман, атакуващите внимателно изграждат доверие, преди да действат. Те се представят за легитимна компания, създават достоверен Slack workspace и фалшиви профили на „служители“. Целта е да легитимират комуникацията и да привлекат Сайман към онлайн среща.

Критичният момент настъпва, когато Сайман е подканен да изтегли „необходим ъпдейт“, за да се включи в разговора. Файлът съдържа зловреден софтуер, който осигурява на атакуващите отдалечен достъп до компютъра му. Тази техника съвпада с вече документирани методи, използвани от севернокорейски хакерски групи, анализирани от изследователи на Google.

От компрометиране към масов риск

След като получават контрол върху системата на Сайман, атакуващите публикуват злонамерени версии на пакета Axios. Два компрометирани пакета остават достъпни около три часа, преди да бъдат премахнати. За този кратък период те потенциално достигат до хиляди системи.

Рискът е реален: възможно е изтичане на частни ключове, компрометиране на потребителски данни и пароли, както и достъп до допълнителни системи и инфраструктура. Пълният мащаб на щетите все още не е изяснен, пише TechCrunch.

Киберексперти предупреждават, че мрежи, свързани с Пхенян, използват deepfake технологии и големи езикови модели, за да получават дистанционни позиции, достъп до корпоративни системи и приходи от западни компании

AI помага на севернокорейски „фалшиви служители“ да се внедряват в европейски компании

Отворен код – новият фронт на кибервойната

Случаят подчертава структурен проблем: широко използваните библиотеки с отворен код са критична инфраструктура, но често се поддържат от малки екипи или отделни разработчици.

Това ги превръща във „входна точка“ с голямо въздействие – компрометираш един проект и получаваш достъп до хиляди компании и милиони устройства.

Атаката е част от по-широк модел. Севернокорейските хакерски групи са сред най-активните в света и според оценки стоят зад кражби на криптовалути за поне 2 млрд. долара само през 2025 г. Режимът на Ким Чен-ун, изолиран от глобалната финансова система заради ядрената си програма, използва кибератаки като основен източник на финансиране.

Дезертьор разкрива измамата с дистанционна работа, която помага на Северна Корея да захранва ядрената си програма

Как хакери на Ким Чен–ун се внедряват в западни IT компании – и финансират режима

Северна Корея разполага с хиляди добре организирани хакери, които често работят под принуда. Операциите им са дългосрочни, внимателно планирани кампании, базирани на социално инженерство, изграждане на доверие и извличане на стойност чрез кражба на данни и криптоактиви.

Това не е просто пробив в един проект, а сигнал за системен риск.

В свят, в който софтуерът е глобална инфраструктура, доверието се превръща в най-уязвимата точка. Когато атакуващите разполагат с време, ресурси и стратегическа мотивация, три часа са напълно достатъчни, за да нанесат щети с глобален мащаб.