週822,000回以上ダウンロードされている信頼されたnpmパッケージが、洗練されたサプライチェーン攻撃で悪用され、JavaScriptデベロッパーコミュニティに衝撃が走った。
危険性が確認されたバージョン[email protected]、9.2.3、12.0.1は公開から数分以内にフラグが立てられたが、それでも無数の開発者環境が静かなデータ盗難にさらされていた。
タイポスクワッティングやインストール時スクリプトに依存する典型的なnpmサプライチェーン攻撃とは異なり、このキャンペーンはペイロードをパッケージのCommonJSエントリーポイント(node-ipc.cjs)に直接埋め込んでいる。
悪意のあるコードはパッケージが必要とされた瞬間に自動的に実行され、多くの従来の検出方法をバイパスする。
注目すべきは、node-ipcのESMバージョンはクリーンなままだが、require("node-ipc")を使用するアプリケーションのみがリスクにさらされている。
一度トリガーされると、重く難読化されたマルウェアはホストシステムをフィンガープリント化し、ローカルファイルと環境変数を列挙した後、盗まれたデータを圧縮・暗号化してから、標準的なネットワーク監視を回避するために特別に設計された秘密のDNS TXTクエリを通じてそれを抽出する。
マルウェアは機密のデベロッパーアセット全体に広い網を投げ、以下をターゲットにしている:
単一の侵害されたシステムは数万のDNSリクエストを生成でき、深いパケット検査なしで検出を回避するため、エンコードされたデータを小さなチャンクに分割する。
調査官は攻撃が侵害されたnpmメンテナーアカウントから発信されたと考えている。
脅威アクターは休止中のアカウント(atiertant)にリンクされた有効期限切れのメールドメインを悪用し、認証情報をリセットしてnpmのコア基盤を侵害することなく悪意のあるバージョンを公開したと報告されている。
この戦術はオープンソースセキュリティの重大で増加する盲点を浮き彫りにしている:放棄されたメンテナーアカウントが静かなエントリーポイントとして機能している。
これはnode-ipcの最初の論争ではない。パッケージは2022年の破壊的な地域ターゲット指定マルウェアインシデントに関わっており、これが繰り返された侵害を表すのか、それとも意図的な再導入を表すのかについて疑問が生じている。
開発者は影響を受けたバージョンをすぐに削除し、すべてのクラウドキー、SSHキー、APIトークンをローテーションし、推移的依存関係を監査する必要がある。
セキュリティチームはDNSログで異常なTXTクエリのバーストを監視し、リストされたドメインをすべてのエンドポイント全体でブロックする必要がある。
翻訳元: https://cyberpress.org/822k-download-node-ipc-breach/