PANewsは4月1日、CNNによると、北朝鮮のハッカーと思われるグループが、数千の米国企業が使用しているオープンソースソフトウェアであるaxiosを侵害し、火曜日の朝3時間以内にソフトウェアをダウンロードした組織に悪意のあるアップデートを送信し、北朝鮮の核・ミサイル計画の資金源となる仮想通貨を盗もうとしたと報じた。GoogleのMandiantは、この攻撃は北朝鮮のハッカー集団と思われるグループによって実行され、ハッカーは盗んだ認証情報とシステムアクセスを使用して企業を標的にし、仮想通貨を盗むと予想されると述べた。セキュリティ企業のHuntressは、約12社に関わる約135台の侵害されたデバイスを特定した。これは、近年北朝鮮が行っている一連のサプライチェーン攻撃の最新のものである。昨年、北朝鮮のハッカーは1回の攻撃で15億ドルの仮想通貨を盗み、当時最大の仮想通貨ハッキングの記録を樹立した。

昨日の速報によると、npmコアパッケージaxiosのバージョン1.14.1がサプライチェーン攻撃を受けていたとのことです。