开源库Axios供应链攻击后续：开发者透露为什么自己的账号会被劫持

早前业界流行的开源库 Axios 遭到黑客攻击，黑客通过未知方式劫持开发者在 NPM 上的账号，随后篡改安装包并引入恶意依赖，恶意依赖则会收集和窃取已感染设备上的机密信息。

已经有诸多安全公司针对此次攻击发布详细的调查，Axios 开发者也公布这次供应链攻击的始末，不过让大家疑惑的是最初黑客如何劫持开发者账号的。

黑客通过社工方式发起最初的攻击：

项目开发者 @Jasonsaayman 在事件报告中透露，攻击者最初通过有针对性的社会工程学攻击和远程访问木马入侵了首席维护者的电脑。

这让黑客获得 NPM 账户凭据 (并将账户邮箱修改为黑客控制的邮箱)，随后黑客利用这些凭据发布恶意 Axios 的恶意版本，这次攻击遵循了针对开源维护者的类似攻击活动中记录的模式。

那到底是怎么进行社会工程学攻击的呢？

很多用户看到这里都和蓝点网有相同的疑问，开发者并未详细说明电脑怎么被入侵的，有网友提出这个问题后也得到 @Jasonsaayman 的答复。

@Jasonsaayman 称初始入侵的手法与谷歌在 2 月份提到的 UNC1069 报告类似，都是通过假冒各类公司联系开发者进行钓鱼，诱导开发者打开链接或安装特定软件。

在谷歌的报告中，谷歌提到 UNC1069 的钓鱼手段包括：冒充知名公司、使用 AI 深度伪造视频、制作钓鱼网站、诱导目标用户执行命令进行所谓的错误修复。

说到这里情况基本已经明了，即开发者也被黑客骗了，可能是下载运行黑客指定的恶意软件或者执行某些命令，最终导致电脑被植入木马和窃取凭据。

当然可能会有用户想着，专业的开发者为什么无法识别这种骗局呢？从过往情况来看，即便是开发者也很容易遭到精心准备的钓鱼陷阱欺骗，开发者也同样是人，既然是人那就有可能出现疏忽。

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/