Волна взломов и утечек данных из-за атак на цепочку поставок ПО

После того как атака на цепочку поставок npm-пакета Axios была связана с хакерами из Северной Кореи, исследователи Google предупредили, что «сотни тысяч похищенных секретов потенциально могут циркулировать» в результате этой атаки, а также атак на цепочки поставок Trivy, KICS, LiteLLM и Telnyx (связанных с группой TeamPCP).

«Это может привести к дальнейшим атакам на цепочки поставок программного обеспечения, компрометации сред программного обеспечения как услуги (SaaS) (что повлечёт за собой компрометацию клиентов), событиям вымогательства с использованием программ-шифровальщиков и кражам криптовалюты в ближайшей перспективе», — добавили они.

Группа TeamPCP использует похищенные секреты для вторжений в облачные среды

Принадлежащая Google компания по облачной безопасности Wiz отреагировала на множество атак, проводимых группой TeamPCP.

«[Команда реагирования на инциденты клиентов Wiz (CIRT)] наблюдала признаки в облачных, кодовых и рантайм-данных, что украденные в ходе компрометации цепочек поставок учётные данные и секреты были быстро проверены и использованы для изучения сред жертв и извлечения дополнительных данных», — сообщили в компании.

«Хотя скорость их использования указывает на то, что это была работа тех же злоумышленников, ответственных за операции с цепочками поставок, мы не можем исключить, что секреты были переданы другим группам и использованы ими».

Технологическая компания OwnCloud заявила на прошлой неделе, что пострадала от компрометации Trivy, и их возможность выпускать новые сборки и исправления для своих программных решений «временно приостановлена».

Стартап Mercor, который связывает экспертов с компаниями, создающими ИИ, подтвердил в среду, что пострадал от атаки на цепочку поставок LiteLLM.

Компания заявила, что является «одной из тысяч компаний», на которые повлияла атака, и её команда безопасности и сторонние эксперты по криминалистике всё ещё расследуют инцидент.

Хотя кибервымогательская группа Lapsus$ заявила о доступе к базам данных и исходному коду компании, Mercor ещё не раскрыла масштабы воздействия или утечки.

Связь между TeamPCP и Lapsus$ задокументирована. Доказательства из Telegram-канала Lapsus$ указывают на то, что они заранее знали о запланированных атаках TeamPCP на цепочки поставок.

TeamPCP также, по-видимому, сотрудничает с операцией программ-вымогателей как услуги Vect и, по собственным заявлениям, работает над запуском собственной программы RaaS под названием CipherForce.

Компрометация Axios затронула организации по всему миру

Axios — одна из наиболее популярных библиотек JavaScript, и компрометация её цепочки поставок через npm, вероятно, затронет множество пользователей.

«Учитывая более 100 миллионов еженедельных загрузок по обеим [затронутым] веткам [Axios npm], масштаб последствий даже трёхчасового окна компрометации значителен», — отметили исследователи Tenable.

По данным Palo Alto Networks, эта атака на цепочку поставок затронула организации в США, Европе, на Ближнем Востоке, в Южной Азии и Австралии, работающие в различных отраслях: финансовые услуги, высокие технологии, розничная торговля, профессиональные и юридические услуги, страхование, высшее образование, клиентский сервис и других.

В результате атаки на системы Windows, macOS и Linux устанавливался троян удалённого доступа, позволяющий злоумышленникам проводить разведку системы, а также загружать и выполнять дополнительные двоичные файлы и команды.

Северокорейская группа (UNC1069), стоящая за взломом Axios, известна использованием социальной инженерии для обмана людей — особенно в сфере криптовалют, DeFi, программного обеспечения и венчурных компаний — с целью установки вредоносного ПО, что совпадает с описанием компрометации системы её разработчиком.

Исторически их мотивацией были финансовые gain.

«Хотя UNC1069 оказала меньшее влияние на хищения криптовалют по сравнению с другими группами, такими как UNC4899 в 2025 году, она остаётся активной угрозой, нацеленной на централизованные биржи, а также на организации и частных лиц ради финансовой выгоды», — отметили исследователи Mandiant ранее в этом году.

Подпишитесь на нашу рассылку экстренных оповещений, чтобы всегда быть в курсе последних утечек данных, уязвимостей и киберугроз. Подписаться можно здесь!