Koi Security が昨日、「史上最大かつ最も危険な npm サプライチェーン侵害」を追跡していることを明らかにしたため、JavaScript 開発者にとっては悪い時期だ。
セキュリティ企業によると、Shai-Huludマルウェア攻撃は「現在、複数のメンテナーにまたがる数百のパッケージに影響を与えている」とのことで、その中には「 @ctrl/tinycolorなどの人気ライブラリや、CrowdStrikeがメンテナンスするパッケージ」も含まれている。(強調は同社による。)そして、問題のマルウェアはパッケージからパッケージへと自律的に拡散するワームであるため、問題は改善される前に悪化する可能性が高い。
Koi Securityはこのキャンペーンを公開したブログ記事で、「攻撃者は@ctrl/tinycolorやその他のnpmパッケージの悪意のあるバージョンを公開し、インストール時に自動的に実行される大規模な難読化スクリプト(bundle.js)を挿入しました」と述べています。「このペイロードはメンテナープロジェクトを再パッケージ化して再公開し、開発者の直接的な関与なしにマルウェアが関連パッケージに横展開することを可能にします。」
明確に申し上げますが、今回のキャンペーンは、9月9日に報じた事件とは異なります。この事件では、毎週数十億回ダウンロードされる複数のnpmパッケージが侵害され、暗号通貨を盗むことを目的としていました。エコシステムは同じです。攻撃者は、GitHubが所有するNode.jsエコシステム向けのnpmパッケージレジストリが貴重な標的であることを明確に認識しています。しかし、Shai-Huludキャンペーンの背後にいる者は、ビットコイン以上のものを狙っているのです。
Koi Securityは、「注入されたスクリプトは、認証情報の収集と永続化操作を実行します」と述べています。「TruffleHogを実行して、ローカルファイルシステムとリポジトリをスキャンし、npmトークン、GitHubの認証情報、[Amazon Web Services]、[Google Cloud Platform]、Azureのクラウドアクセスキーなどのシークレットを探します。また、CI/CD実行中にシークレットを盗み出す隠しGitHub Actionsワークフローファイル(.github/workflows/shai-hulud-workflow.yml)を作成し、最初の感染後も長期的なアクセスを確保します。エンドポイントのシークレット窃取とバックドアという二重の目的を持つShai-Huludは、これまでの侵害と比較して最も危険なキャンペーンの一つとなっています。」
Node.jsソフトウェアの開発と配布に煩わされることのない人にとっては、これは混乱を招くかもしれません。しかし、要するに、Shai-Hulud氏は、開発者の介入をほとんど必要とせずにソフトウェアを配布できるように特別に設計された環境(npm)において、よく知られた攻撃的なセキュリティツール(TruffleHog)と開発者ツール(GitHub Actions)を組み合わせて使用しているのです。
前回のレポートでは、npmパッケージを侵害して暗号通貨を盗んだ者は、我々にとって都合の良い存在だったと指摘しました。なぜなら、彼らはこれらのパッケージへのアクセスを利用して、はるかに悪質な攻撃を実行できたからです。今、誰かがまさにそれを実行しようとしているようです。Node.jsエコシステムとその周辺ツールは、このような広範囲にわたる攻撃を可能にするために構築されたものであるという事実を考えると、驚きを隠せないでしょう。
Koi Securityは、Shai-Huludキャンペーンによって侵害されたことが知られているnpmパッケージのリストをブログ記事で更新しました。StepSecurityも、このマルウェアの拡散方法、動作、そして侵害されたパッケージが自社のインフラストラクチャのどこかで使用されていることが判明した場合の組織がとるべき対応策に関する技術的な解説に加え、侵害の兆候(IOC)を公開しました。
Tom's HardwareをGoogleニュースでフォローするか、お気に入りの情報源として追加して、最新のニュース、分析、レビューをフィードで受信しましょう。「フォロー」ボタンを忘れずにクリックしてください!
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
