TokyoBlackHatNews

gbhackers.com 4分で読了

悪意のあるnpmパッケージがSSHキー、クラウド認証情報、暗号資産ウォレットを盗む

開発者を標的とした新しいサプライチェーン攻撃キャンペーンがnpmエコシステムで発見されました。4つの悪意のあるパッケージがSSHキー、クラウド認証情報、暗号資産ウォレットなどの機密データを盗んでいます。

過去24時間以内にOX Securityによって識別されたこのキャンペーンは、タイポスクワッティング攻撃と再利用されるオープンソースマルウェアによってもたらされる増大するリスクを浮き彫りにしています。

悪意のあるパッケージ@deadcode09284814/axios-util、axois-utils、chalk-tempalte、およびcolor-style-utilsは単一のnpmアカウントの下で公開され、合計で週2,600回以上のダウンロードを記録しました。

これらのパッケージのインストールは、すべての利用可能なバージョンに埋め込まれた情報盗聴機能が含まれているため、即座に侵害されるとセキュリティ研究者は警告しています。

最も注目すべき発見の1つは、chalk-tempalteパッケージで、これはShai-Huludマルウェアの極めてよく似たクローンを含んでいます。

このマルウェアは数日前にTeamPCPによって公開されたため、他の脅威アクターがすぐにアクセスできるようになりました。

OX SecurityがGbhackersにシェアしたレポートによれば、chalk-tempalteの背後にある攻撃者は、構造を難読化せずに残すなど、漏洩したソースコードを最小限の変更またはまったく変更なしでコピーしたようです。

この難読化の欠如は、このキャンペーンをオリジナル開発者と区別し、洗練された開発というより機会主義的な再利用を示唆しています。

クローンされたShai-Hulud亜種は高度な情報盗聴マルウェアとして機能し、認証情報、暗号資産ウォレット、環境変数などの機密情報を抽出します。

盗まれたデータを87e0bbc636999b.lhr.lifeでホストされているコマンド&コントロールサーバに送信し、収集したデータを攻撃者が管理するGitHubリポジトリにアップロードすることで、以前の動作をミラーリングします。

埋め込まれた公開鍵と同一のロジックフローは、漏洩したソースコードからの直接的な系統をさらに確認しています。

他の悪意のあるパッケージは異なる機能を示しており、多機能の攻撃戦略を示唆しています。

Image

@deadcode09284814/axios-utilパッケージは、AWS、Google Cloud、およびAzure環境全体でSSHキー、環境変数、クラウド認証情報の収集に焦点を当てています。

収集したデータをポート2222経由で80.200.28.28のリモートサーバに送信し、単純だが効果的なデータ流出方法を示唆しています。

悪意のあるnpmパッケージ

一方、axois-utilsは攻撃者が「ファントムボット」と呼ぶものをデプロイすることで、より積極的なペイロードを導入しています。このコンポーネントは感染したシステムの永続性を確立し、npmパッケージが削除されたとしても継続的な動作を保証します。

Image

部分的にGoで記述されたボットは、HTTP、TCP、UDP、およびリセットベースのフラッディング攻撃を開始することができるDDoSボットネット内のノードに侵害されたマシンを変換します。これは純粋なデータ盗難から感染インフラストラクチャの積極的な悪用へのシフトをマークしています。

4番目のパッケージcolor-style-utilsは、高度な回避技術なしで、より単純な情報盗聴マルウェアとして動作します。

IPアドレスや地理情報データなどのシステム情報、暗号資産ウォレットの詳細を収集し、攻撃者が管理する別のドメインedcf8b03c84634.lhr.lifeに送信します。

Image

その単純さにもかかわらず、難読化の欠如は、攻撃者がステルスより展開速度を優先したことを示唆しています。

研究者は、このキャンペーンはタイポスクワッティング技法に依存している可能性があり、特にAxiosなどの一般的なパッケージを検索している開発者をターゲットにしていると指摘しています。

パッケージ名のわずかなスペルミスは、特に急速なペースの開発環境で、偶然のインストールの可能性を高めます。

これらのパッケージのいずれかをインストールした開発者は、即座にアンインストールし、潜在的に露出している認証情報をすべてローテーションし、システムに残存する永続メカニズムがないか検査することを強く勧告されています。

さらに、「A Mini Sha1-Hulud has Appeared」などの文字列などの指標を探してリポジトリをスキャンすることは、侵害された環境を特定するのに役立つ可能性があります。

このインシデントは、漏洩したマルウェアが実世界の攻撃でどれほど迅速に兵器化されるかを示し、脅威のランドスケープを増幅し、ソフトウェアサプライチェーン内でのより厳格な依存関係検証慣行の必要性を強化しています。

翻訳元: https://gbhackers.com/malicious-npm-packages-2/

ソース: gbhackers.com
#DDoS #npm #クラウドセキュリティ #サプライチェーン攻撃 #タイポスクワッティング #マルウェア #情報盗聴 #暗号資産 #認証情報盗難 #開発者セキュリティ

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚