關鍵3小時防線失守!超夯軟體Axios慘遭下毒
根據《CNN》報導,與平壤當局關係密切的駭客,成功駭入了知名開源軟體「Axios」開發者的帳號,並且整整掌控了3個小時。在這致命的3小時內,駭客利用該權限,向所有在此期間下載或更新軟體的組織發送了惡意更新檔。
這起事件立刻引發全美資安高層的恐慌,開發者也緊急展開帳戶奪回戰並評估受損範圍。由於Axios這款軟體能大幅簡化網站的建置與管理,從醫療保健、金融業到科技業,幾乎涵蓋了經濟體系的每一個層面,其中更包含了許多活躍於加密貨幣產業的科技公司,牽連範圍難以估計。
偷錢養核彈?資安專家憂:未爆彈才剛開始連環爆
Google旗下的資安情報公司Mandiant將矛頭直指北韓駭客集團。該公司技術長卡馬卡爾(Charles Carmakal)擔憂地表示,駭客極有可能會利用這次供應鏈攻擊中所取得的憑證與系統存取權限,進一步鎖定並竊取企業的加密貨幣。
他坦言,要全面評估這波攻擊的下游影響,恐怕需要花上好幾個月的時間。另一家資安公司Huntress的研究員哈蒙德(John Hammond)則透露,目前已在約12家公司中發現了135台受害設備,但這絕對只是冰山一角,隨著越來越多企業進行內部清查,受害名單勢必會呈現爆發性成長。
AI時代淪資安破口!北韓駭客「沒在怕」成最大夢魘
這已非北韓首次發動毀滅性的供應鏈攻擊,3年前他們就曾滲透另一款深受醫療與飯店業依賴的影音通訊軟體。對於長期受到國際制裁的北韓而言,這支實力堅強的駭客大軍是維持國家運作的命脈。根據聯合國與私人機構的報告,北韓駭客近年來已從銀行與加密企業手中竊取高達數十億美元,美國白宮官員更曾在2023年證實,北韓大約有一半的飛彈計畫資金都是靠這類「數位搶劫」來支應,去年甚至創下單次攻擊竊走15億美元加密貨幣的歷史紀錄。
Google旗下資安公司Wiz的戰略威脅情報總監瑞德(Ben Read)分析,北韓根本不在乎名聲,也不怕身分曝光,只要能拿到錢,他們絕對願意承受這類高調行動所帶來的代價。哈蒙德更點出一個殘酷的現實,在這個AI當道的時代,許多組織放任AI代理開發軟體,卻缺乏人工審查與安全防護機制。他直言,現在有太多人根本不看軟體裡面到底「摻了什麼成分」,這讓軟體供應鏈的最大弱點,在這個時代徹底變成了一扇不設防的大門。
