#安全资讯 谷歌溯源发现 Axios 供应链攻击背后的黑客是朝鲜黑客团伙 UNC1069，其主要目标可能是盗取加密货币。谷歌威胁情报小组溯源发现发动攻击的黑客使用的后门和基础设施与 UNC1069 此前使用的后门和设施有重叠，因此基本可以确定这又是朝鲜黑客干的。查看全文：https://ourl.co/112429

昨天知名开源库 @Axios 遭到黑客攻击，黑客通过某种方式劫持开发者的 NPM 账号并发布携带恶意代码的版本，这个开源库每月下载量高达 3 亿次，可见此次供应链攻击造成的影响非常大。

人工智能项目 OpenClaw AI 机器人也同样需要使用 @Axios 开源库，昨天蓝点网发布安全提醒后有部分用户自查，发现部署环境已经被感染木马需要重建和轮换密钥。

谷歌威胁情报小组现在也发布此次供应链攻击的调查报告，调查显示，发起攻击的乃是朝鲜黑客团队 UNC1069 (也被称为 NEXUS)，其攻击的主要原因是出于经济动机。

谷歌威胁情报小组的溯源：

谷歌威胁情报小组经过分析后发现，恶意依赖项会部署名为 WAVESHAPER.V2 的后门程序，这是此前已经被曝光的 WAVESHAPER 后门程序的升级版。

UNC1069 此前就使用 WAVESHAPER 后门程序，这也是谷歌将此次攻击归因到 UNC1069 的主要原因，当然谷歌还发现此次攻击使用的基础设施与 UNC1069 此前攻击中使用的基础设施存在重叠。

这个黑客团队在业界也算是比较知名的，原因 UNC1069 至少从 2018 年开始就活跃了，这些年里发起的各类攻击还是比较多的，而且基本都是出于经济动机。

部署的后门有哪些功能：

WAVESHAPER.V2 是个功能非常丰富的远程访问工具 (RAT)，黑客利用这个工具来广泛收集感染设备的信息以便进行后续行动。

侦查功能：提取系统遥测数据，包括主机名称、用户名称、 启动时间、时区、进程列表。

命令执行：具备多种不同的远程命令执行方式，包括从远程服务器获取 shell 命令并执行等。

文件枚举：通过不断地遍历文件系统，收集目标目录的详细元数据。

黑客的目的多半还是加密钱包：

谷歌威胁情报小组称 UNC1069 是个与朝鲜有关的、以经济利益为驱动的威胁组织，尽管谷歌没有明确说明 UNC1069 主要目标是否是加密货币，但从朝鲜黑客以前的作风来看，大概率是主要目标就是盗取用户的加密货币钱包信息或者发起勒索攻击。

如果目标是加密货币钱包，则木马可能会通过监控和收集用户的输入记录以及尝试获取钱包助记词等，亦或者在用户发送加密货币时替换目标地址。

考虑到黑客制作的恶意依赖项 plain-crypto-js 里带有 crypto 这个关键词，所以黑客目标是加密货币钱包的概率可能更大。