脅威アクターが、開発者の間で人気のあるツールのコンポーネント向けに、暗号資産や主要な開発者データを盗むことを目的とした悪意のあるアップデートをnpmパッケージリポジトリに公開しました。
StepSecurityのレポートによると、この攻撃は8月26日の朝、Nxのバージョン21.5.0がnpmレジストリに公開された際に始まりました。
Nxは、開発者がコードのテスト、ビルド、デプロイのワークフローを自動化・効率化するために広く利用されているオープンソースのビルドプラットフォームです。
Nxのバージョン21.5.0は、データ窃取型マルウェアによって侵害されていました。その後数時間から翌日にかけてリリースされた他の7つのNxバージョンも感染していました。
AI支援型攻撃:Nx感染による被害者所有リポジトリからの機密情報漏洩
感染したNxバージョンには、AnthropicのClaude、GoogleのGemini、Amazon Qコーディングアシスタントなどの大規模言語モデルを利用するローカルAIコマンドラインインターフェース(CLI)ツールを悪用するための悪意あるスクリプトが含まれており、これらのエージェントに細工されたプロンプトを注入して、感染システム内の機密ファイルをスキャンさせるようにしていました。
ターゲットとなったのは、GitHubやnpmのトークン、SSHキー、環境変数の秘密情報(.envファイルなど)、暗号資産ウォレットのデータなどです。
収集された情報はエンコードされ、1つのファイルに保存されました。
その後、スクリプトはGitHubのアプリケーションプログラミングインターフェース(API)を悪用し、被害者自身のアカウント下に「s1ngularity-repository-」という命名パターンの新しいパブリックリポジトリを自動作成し、そこに盗んだデータをアップロードしました。
この手法により、外部のコマンド&コントロール(C2)サーバーを必要とせず、被害者自身のインフラを利用して流出ファイルをホストできるため、攻撃者は直接的な追跡を最小限に抑えつつ後で収集できるようになっていました。
さらに、マルウェアはユーザーのシェル設定ファイル(~/.bashrcや~/.zshrc)を変更し、シャットダウンコマンドを挿入して、新しいターミナルセッションが開始されるたびに開発者のマシンが再起動するようにしていました。この動作は、感染の持続性を高めるか、フォレンジック分析を妨害することを意図していた可能性があります。
予測可能なリポジトリ命名規則により、GitHub上で盗まれたデータが容易に特定できる一方で、攻撃者の収集方法の痕跡も残すことになりました。
サードパーティサーバーを完全に回避することで、攻撃は被害者自身のアカウントを利用して戦利品を保存・送信する形となり、追跡を困難にする一方で、検知されるリスクも高めています。
StepSecurityによると、Nxツールの人気の高さからユーザーが攻撃を迅速に特定し、8つの悪意あるパッケージバージョンは公開からわずか5時間20分で削除されました。
「その短い時間枠の中で、数千人の開発者が被害に遭った可能性があります」とレポートは述べています。
攻撃の第二波:GitHub CLI OAuthトークンに高い警戒
StepSecurityのレポートは、Nxの認証情報漏洩に端を発する第二波の攻撃について警告しています。これは、NASAジェット推進研究所のソフトウェアアーキテクトBrian Kohan氏と、セキュリティエンジニア兼研究者のAdnan Khan氏によって8月28日に最初に明らかにされました。
この新たな波では、攻撃者が盗まれた認証情報を武器化し、組織のプライベートリポジトリを公開・複製することで、侵害の影響を拡大させています。
攻撃は2段階で行われます:
- まず、脅威アクターがプライベートリポジトリの名前をs1ngularity-repository-{ランダム文字列}のパターンに変更し、強制的にパブリックアクセスに変換して機密コードや秘密情報を公開します
- 次に、これらのリポジトリを侵害されたユーザーアカウントにフォークし、元のリポジトリが後で保護されても盗まれたデータが引き続きアクセス可能な状態にします
このようなリポジトリが数千件、現在GitHub上に出現しています。攻撃は特にGitHub CLI OAuthトークンを標的としており、攻撃者に長期間のアクセス権を与え、持続的な悪用リスクを高めています。
感染評価と対策・復旧の推奨事項
StepSecurityの研究者は、これらの攻撃が「サプライチェーン攻撃の新たなフロンティアを示している」と述べています。
「これは、マルウェアが開発者向けAI CLIツールを利用し、信頼されたAI LLMアシスタントを偵察および情報流出のエージェントに変えた初の既知のケースです」と彼らは記しています。
自分や自組織が影響を受けているか確認したい場合、以下のGitHubクエリを利用し、‘acmeinc’を自分のGitHub組織名に置き換えてください:https://github.com/search?q=is%3Aname+s1ngularity-repository+org%3Aacme&type=repositories&s=updated&o=desc
影響を受けた場合、StepSecurityの研究者は以下の手順を推奨しています:
- 公開されてしまった組織リポジトリを再度プライベートに設定する
- この問題の対処中、影響を受けたユーザーを組織から切り離す
- 影響を受けた各ユーザーのすべてのアクセストークン(インストール済みアプリ、認証済みアプリ、OAuthトークン(特にGitHub CLIトークン)、SSHキー、GPGキーを含む)を失効させる
- 機密組織データを含む可能性のある影響を受けたユーザーアカウントから、フォークされたリポジトリを削除する
StepSecurityは、ユーザーが従うことのできる包括的な復旧プランも提供しています。
翻訳元: https://www.infosecurity-magazine.com/news/npm-package-hijacked-ai-malware/