Hakerski napad iz Sjeverne Koreje koji je u ponedjeljak privremeno preuzeo kontrolu nad jednim od najčešće korištenih open source projekata na mreži trajao je nekoliko tjedana kao dio dugotrajne kampanje usmjerene na vrhunske programere tog koda.
Oduzimanje kontrole nad projektom Axios 31. ožujka djelomično je bilo uspješno jer se oslanjalo na dobro organizirane hakere koji su tijekom dugog razdoblja gradili odnos i povjerenje sa svojim ciljevima kako bi povećali šanse za uspješan kompromis. Ova vrsta hakiranja ističe sigurnosne izazove s kojima se programeri popularnih open source projekata suočavaju, u trenutku kada vladini hakeri i cyber kriminalci ciljaju široko korištene projekte zbog njihove sposobnosti pristupa, u nekim slučajevima, milijunima uređaja diljem svijeta.
Jason Saayman, koji održava popularni projekt Axios koji programeri koriste za povezivanje svojih aplikacija s internetom, objavio je analizu napada s vremenskom linijom događaja. Podijelio je da su hakeri započeli svoju kampanju ciljanjem oko dva tjedna prije nego što su konačno preuzeli kontrolu nad njegovim računalom kako bi instalirali zlonamjerni kod.
Prikazujući se kao prava tvrtka, stvarajući realističan Slack radni prostor i koristeći lažne profile zaposlenika za izgradnju kredibiliteta, Saayman navodi da su sumnjivi sjevernokorejski hakeri potom pozvali njega na web sastanak koji ga je potaknuo da preuzme zlonamjerni softver maskiran kao ažuriranje potrebno za pristup pozivu. Saayman je rekao da je mamac imitirao tehniku koju koriste sjevernokorejski hakeri koja zavodi potencijalne žrtve da hakerima omoguće daljinski pristup svojim sustavima, često kako bi ukrali njihovu kriptovalutu.
Ovaj napad, rekao je Saayman, oponašao je ranije hakove pripisane Sjevernoj Koreji od strane sigurnosnih istraživača iz Googlea.
Nakon što su kompromitirali i stekli daljinski pristup Saaymanovom računalu, hakeri su tada objavili zlonamjerna ažuriranja za projekt Axios.
Dva zlonamjerna Axios paketa, uklonjena otprilike tri sata nakon što su prvi put objavljena 31. ožujka, mogla su još uvijek inficirati tisuće sustava tijekom tog razdoblja, iako puni opseg masovnog hakiranja još nije potpuno jasan. Svako računalo koje je instaliralo zlonamjernu verziju softvera tijekom tog vremena moglo je omogućiti hakerima da ukradu njihove privatne ključeve, vjerodajnice i lozinke, što može dovesti do daljnjih provala.
Sjevernokorejski hakeri ostaju jedna od najaktivnijih cyber prijetnji na internetu danas, za koje se tvrdi da su ukrali najmanje 2 milijarde dolara u kriptovalutama samo u 2025. godini.
Režim Kim Jong Una ostaje pod međunarodnim sankcijama i zabranjen iz globalne financijske mreže zbog kršenja zabrane na razvoj svog nuklearnog programa, koji zemlja u velikoj mjeri financira pokretanjem cyber napada i krađom kriptovaluta.
Sjeverna Koreja se vjeruje da ima tisuće visoko organiziranih hakera — većina njih radi protiv svoje volje pod represivnim režimom Kima. Ovi hakeri provode tjedne ili mjesece provodeći složene socijalno-inženjerske napade s ciljem stjecanja povjerenja i konačnog pristupa za krađu kriptovaluta i podataka kako bi iznudili svoje žrtve.
