北韓劫持全球最常用開源專案之一的行動可能已籌備數週

上週一，一場北韓網路攻擊短暫劫持了網路上最廣泛使用的開源專案之一。這場攻擊是針對該程式碼頂尖開發者長期行動的一部分，且耗時數週才得以執行。

3 月 31 日對 Axios 專案的劫持之所以取得部分成功，是因為它依賴於資源充足的駭客在長時間內與目標對象建立關係與信任，以增加最終成功入侵的機率。這類駭客攻擊凸顯了熱門開源專案開發者所面臨的安全挑戰，與此同時，政府駭客和網路罪犯正瞄準這些廣泛使用的專案，因為這讓他們有機會存取全球數以百萬計的裝置。

負責維護 Axios 專案（開發者用來將應用程式連接到網路的熱門工具）的 Jason Saayman 提供了一份包含攻擊時間線的事後檢討。他分享道，駭客在最終取得其電腦控制權並發布惡意程式碼的大約兩週前，就開始了針對他的行動。

Saayman 表示，疑似北韓的駭客透過冒充真實公司、建立看起來很逼真的 Slack 工作區，並使用虛假的員工個人資料來建立公信力，隨後邀請他參加一場網路會議，並誘導他下載偽裝成加入通話所需更新的惡意軟體。Saayman 指出，這種誘餌模仿了北韓駭客常用的一種技術，即誘騙潛在受害者授予駭客對其系統的遠端存取權限，通常是為了竊取其加密貨幣。

Saayman 說，這次攻擊模仿了先前由 Google 安全研究人員歸因於北韓的駭客手段。

在入侵並獲得 Saayman 電腦的遠端存取權後，駭客隨即發布了 Axios 專案的惡意更新。

這兩個惡意 Axios 套件在 3 月 31 日首次發布約三小時後被撤下，但在這段時間內可能仍感染了數千個系統，儘管這次大規模駭客攻擊的完整影響範圍尚不完全清楚。任何在此期間安裝了惡意版本軟體的電腦，都可能已讓駭客從該電腦中竊取私鑰、憑證和密碼，進而導致進一步的入侵。

Saayman 並未立即回覆有關此事件詢問細節的電子郵件。

北韓駭客仍是當今網路上最活躍的網路威脅之一，僅在 2025 年就被指控竊取了至少 20 億美元的加密貨幣。

金正恩政權因違反核武開發禁令，仍受到國際制裁並被禁止進入全球金融網路，而該國主要透過發動網路攻擊和竊取加密貨幣來資助其核武計畫。

據信北韓擁有數千名組織嚴密的駭客——其中大多數是在高壓的金氏政權下違背意願工作。這些駭客花費數週或數月時間進行複雜的社交工程攻擊，旨在贏得信任並最終獲得存取權限，以竊取加密貨幣和數據來勒索受害者。