セキュリティ専門家や業界の観察者たちは、月曜日に攻撃者がnode.jsのパッケージマネージャーであるnpmの広く使われているオープンソースパッケージ群を乗っ取り、悪意のあるコードを注入したことで、恐怖の渦に巻き込まれました。しかし、多くの人が避けられないと考えた大惨事は回避され、サプライチェーン攻撃の影響は短期間かつ最小限にとどまりました。
影響を受けたソフトウェアパッケージの開発者兼メンテナーであるJosh Junon氏は、月曜日の早い段階で自身のnpmアカウントがソーシャルエンジニアリングによって侵害されたことをSNSで明かしました。正規に見える2要素認証リセットメールがきっかけだったといいます。研究者によると、攻撃者はすぐに暗号通貨の活動を傍受・操作・リダイレクトするペイロードを含む更新済みソフトウェアパッケージを公開しました。
影響を受けた18のパッケージの人気ぶり(Aikido Securityによると週に20億回以上ダウンロードされている)から、不安が高まり、一部の防御側はパニック寸前にまで追い込まれました。最終的に、オープンソースへの毒入れ攻撃は成功しましたが、影響は阻止されました。
「この攻撃については、センセーショナルな見出しによって多くの恐怖、不確実性、疑念が広がりました」と、Taniumのセキュリティおよびプロダクトデザインリサーチ担当シニアディレクター、Melissa Bischoping氏はCyberScoopに語りました。「攻撃の全体的な被害範囲は比較的小さく、迅速に発見され、インシデント対応プロセスも意図通りに機能しました。これはホラーストーリーではなく、良いニュースです。」
Junon氏によると、ソーシャルエンジニアリング攻撃に騙されてから約8時間後にアカウントが復旧し、感染したパッケージのバージョンは最大6時間利用可能でしたが、npmがそれらを削除し安定版を公開しました。影響を受けた中で最も人気のあるパッケージには、ansi-styles、debug、chalk、supports-colorなどがあります。
多くの人はこの侵害によって暗号通貨の大規模な盗難が発生すると予想していましたが、攻撃の波及効果はごくわずかだったようです。攻撃者の暗号通貨アドレスにはわずか66.52ドルしかなかったと、EclecticIQのシニアサイバー脅威インテリジェンスアナリスト、Arda Büyükkaya氏はLinkedIn投稿で述べています。
ブロックチェーン分析プラットフォームArkhamの研究者によると、水曜日の朝時点で約1,027ドル分の暗号通貨が盗まれたことが判明しています。
「攻撃者の動機は金銭的なもののようですが、これは壊滅的な事態になりかねなかったことは明らかであり、2024年のXZ Utils侵害など、最近の他の事例を思い起こさせます」とBischoping氏は述べています。
複数のセキュリティ企業の研究者は、潜在的な被害規模から今回の侵害をnpm史上最大の攻撃と評しました。幸いにも、攻撃者の技術的な行動が他の開発者に警告を与えました。
「攻撃者は広く知られた難読化ツールを下手に使ったため、悪意のあるバージョンが公開された直後に即座に検知されました」とJFrogのセキュリティ研究者Andrey Polkovnichenko氏はブログ投稿で述べています。
攻撃の最初の波はほぼ阻止されましたが、研究者たちは他のnpmメンテナーも同じフィッシングキャンペーンによって標的にされ、侵害されたと警告しています。Sonatypeの研究者によると、影響を受けたことが判明している他のパッケージにはduckdb、proto-tinker-wc、prebid-universal-creative、prebid、prebid.jsなどがあります。ブログ投稿より。
「オープンソースコミュニティは、私たちの業界のヒーローであることが多いです」とBischoping氏は述べています。「オープンソースコミュニティの情熱、献身、そして回復力は、私たち全員に価値をもたらしています。すべての組織は、どのようにすればオープンソースプロジェクトをよりよく支援し、資金提供し、貢献できるかを考えるべきです。なぜなら、彼らなしではテック業界は苦しむことになるからです。」
翻訳元: https://cyberscoop.com/open-source-npm-package-attack/