高度に破壊的なサプライチェーン攻撃が現在、開発者エコシステムを襲っており、信頼されたビルド環境をマルウェアの拡散ポイントに変えています。
「Shai-Hulud: Here We Go Again」と呼ばれるこの積極的なキャンペーンは170以上のnpmパッケージと複数のPyPIパッケージを侵害しており、これらは毎週合わせて2億回以上ダウンロードされています。
マルウェアは自己複製するワームとして動作し、クラウド認証情報を狙い、盗んだアクセスを使用してさらに多くのパッケージに感染させます。
初期の侵害は、信頼されたGitHubリリースワークフロー内のビルドキャッシュを汚染することで、最新のセキュリティ対策を回避しました。
開発者が侵害されたnpmパッケージをインストールすると、隠されたプレインストールスクリプトがローダーとして機能し、Bunランタイムをダウンロードして、高度に難読化されたJavaScriptペイロードを実行します。
PyPI側では、攻撃は密かなインポート時ダウンローダーを使用し、攻撃者が制御するサーバーからリモートPython認証情報スティーラーを取得します。
有効になると、マルウェアはデーモン化して、開発者が作業を続けている間、検出されないままバックグラウンドで実行されます。
このキャンペーンは、開発者マシンと継続的統合パイプラインにわたる機密データに対する大規模なネットを張ります。
GitHub Actions環境を特に狙い、Linuxランナーのメモリから直接ランタイムのみのシークレットとOIDCトークンを抽出します。
マルウェアは、インスタンスメタデータサービス、アクセス可能なネームスペース全体のKubernetesサービスアカウントトークン、HashiCorp Vaultアクセス、ローカルパスワードマネージャーボルトを通じてAWS認証情報をアクティブに探索します。
これらの認証情報を収集した後、Session/Oxenネットワークとデッドドロップ式GitHubリポジトリを含む冗長なチャネルを通じて、暗号化されたデータを流出させます。
このキャンペーンを独特に危険にしているのは、ソフトウェアサプライチェーン全体で自己伝播する能力です。
npmトークンと信頼できる公開認証情報を収集した後、マルウェアは被害者が公開できる他のパッケージを自動的に特定します。
その後、これらのパッケージをダウンロードし、悪意あるルーティングコードを注入し、バージョン番号を上げ、感染した成果物をレジストリに再公開します。
これは、侵害された各ビルドマシンが追加の感染の発射台となる、壊滅的なフィードバックループを生じさせます。
npmペイロードは、盗んだトークンを使用してGitHub APIを60秒ごとにポーリングする永続的なバックグラウンドサービスをインストールします。APIがトークンが無効化されたことを示すと、モニターはすぐにすべてのユーザーファイルを削除するコマンドを実行します。
PyPIバリアントは同様の破壊的な動作を示し、特定のLinuxホスト上のハードドライブ全体をワイプしようとしています。
セキュリティチームは、公開されている認証情報をローテーションする前に、ホストを徹底的に分離し、これらの永続的なモニタリングプロセスを終了する必要があります。
翻訳元: https://cyberpress.org/npm-attack-targets-credentials/
