オープンソースエコシステムは開発者にとって危険な地雷原と化しています。新たな凶悪なタイポスクワッティングキャンペーンがソフトウェアエンジニアを積極的に狙い、クラウド環境の乗っ取り、暗号資産ウォレットの枯渇、感染マシンの大規模DDoSボットネットへの変換を脅かしています。
この段階的に進む脅威は、寒気がするような現実を浮き彫りにしています。攻撃者がこれまで以上の速さでオープンソースマルウェアを兵器化しているのです。
過去24時間の間に、セキュリティ研究者は強力なインフォステーラーコードが搭載された4つの新しい悪意のあるnpmパッケージを発見しました。
OX Securityの最近のレポートによると、このキャンペーンは悪名高いBreachForumsで最近開催されたサプライチェーン攻撃競争の直接的な結果のようです。
4つのパッケージすべてが単一のnpmユーザーアカウントに関連しています。しかし、機密な開発者データを収集するために、完全に異なる戦術を展開しています。
キャンペーンはタイポスクワッティングに大きく依存し、Axiosのような人気のあるユーティリティをダウンロードする際にわずかなスペルミスを犯す開発者を騙しています。
OX Securityは、chalk-templateという名前のパッケージがShai-Huludマルウェアの直接的なクローンであることに気付きました。TeamPCPが漏らしたこの特定のマルウェアソースコードを、わずか先週GitHubに。
興味深いことに、攻撃者は難読化なしで正確なコピーを使用し、これが公開されているツールを使用して迅速な攻撃を探している完全に異なる脅威行為者であることを証明しています。
別のパッケージである@deadcode09284814/axios-utilは、非常に効果的な情報窃取ツールとして機能します。
AWS、GCP、およびAzureのSSHキー、環境変数、およびクラウド認証情報を積極的に収集します。一方、axois-utilsパッケージははるかに破壊的で永続的です。
npmパッケージが削除された後でも、被害者のマシン上で実行され続ける「ファントムボット」と呼ばれるGoLangペイロードをドロップします。このボットはHTTP、TCP、UDP、およびリセットリクエストでターゲットウェブサイトをフラッディングして、深刻なDDoS攻撃を開始できます。
最後に、color-style-utilsパッケージは、痕跡を隠す試みなしで、古典的なインフォステーラーとして機能します。
暗号資産ウォレットを積極的に狙いながら、被害者のIPジオロケーションデータを収集しています。
これら4つのパッケージ全体で盗まれたデータの種類の豊富さは、複数の感染方法を同時にテストしている非常にやる気のある攻撃者を示しています。
これらの悪意のあるパッケージのいかなるバージョンもインストールした人は、完全に侵害されています。
これらのパッケージの週間合計ダウンロード数は既に2,678に達しており、数千の開発者が深刻なリスクにさらされています。
Shai-Huludコードのオープンソースリリースは参入障壁を大幅に引き下げ、同様のサプライチェーン攻撃のより大きな波が地平線上で起こりやすいことを意味しています。
翻訳元: https://cyberpress.org/npm-packages-steal-credentials/