出典:FlixPix via Alamy Stock Photo
TeamPCPは先週、Shai-HuludのソースコードをGitHubに公開し、この悪名高いワームはすでに拡散の兆候を示しています。
TeamPCPは、Shai-Hulud自己複製ワーム攻撃の主要な、あるいは最も重要な犯人と長い間評価されてきた経済的動機を持つ脅迫行為者であり、様々な後続ワームも手がけています。人気のSF小説『デューン』に登場するサンドワームにちなんで名付けられたShai-Hulud は、昨夏、ノードパッケージマネージャー(NPM)パッケージに感染し始めた自己複製マルウェアワームです。
開発者がマルウェアで汚染されたオープンソースソフトウェアコンポーネントをダウンロードすると、マルウェアは開発者にインフォステーラーを感染させます。その後、マルウェアは開発者の侵害されたNPMアカウントを使用して、その開発者が保守しているすべてのパッケージの汚染された依存関係を公開します。これはすべて脅迫行為者の干渉なしに行われます。その後、このサイクルが繰り返されます。
Shai-Hulud と同様のワームは、最近数ヶ月間、オープンソース開発エコシステムに大混乱をもたらしていますが、開発者を標的とする脅迫キャンペーンの波状攻撃にもかかわらず、防御者は迅速に行動し、これまでのダメージはいくぶん限定的です。
これを念頭に置いて、TeamPCPが他の脅迫行為者に攻撃でコードを使用するよう招待したため、Shai-Hulud ベースの脅迫の新しい世界に入る可能性があります。Datadog ブログ投稿によると、GitHubは5月12日の元のリポジトリを削除しましたが、その後のフォークは残存しています。
Shai-Hulud クローン、NPMに蔓延
本日公開された研究ブログ投稿によると、脆弱性管理ベンダーMondooのチーフセキュリティオフィサー(CSO)であるPatrick Münchは、脅迫行為者が「1つの[npm]アカウントから4つの悪意のあるパッケージをアップロードした。Shai-Hulud のほぼ逐語的なコピーで独自のコマンドアンドコントロールインフラストラクチャを備えたもの、3つのAxiosタイポスクワット、および感染したマシンを浸水ネットワークに徴募する分散型サービス拒否(DDoS)ボットネットペイロード」と述べています。
すべてのnpmパッケージを合わせた週次ダウンロード数は約2,600しかありませんが、Münchは、ここでの真の話はソフトウェア開発サプライチェーン攻撃の新しいフロンティアを示していることであると主張しています。より具体的には、Shai-Hulud は「開発者のアイデンティティと最新のCI/CDパイプラインに組み込まれた暗黙の信頼を武器化する、自動化されたサプライチェーン攻撃の新しいパラダイム」のプロトタイプです。
Shai-Hulud を使用すると、タイポスクワッティングは最初の段階に過ぎません。成功したShai-Hulud バリアントは、開発者アカウントを侵害し、信頼できるパッケージをマルウェアで更新することで拡散します。Münchは、このようなワームの波は、世界中の開発者が依存しているオープンソースエコシステムの固有の信頼を破壊する可能性があると述べています。
SafeBreachのシニアセールスエンジニアであるAdrian Culleyは、Dark Readingに対して、Shai-Hulud リリースは虚勢よりもむしろTeamPCPがアクセスブローカービジネスのマーケティングキャンペーンを実行していることについてのものであると述べています。例えば、マルウェアのコマンドアンドコントロール(C2)はデフォルトではTeamPCPのインフラストラクチャに接続されています。
「オープンソースのドロップはコピーキャット波の背後の属性をロンダリングし、BreachForumsコンテストは無給配布を募集するためのロスリーダー価格であり、これらのコンテスタントが構築するすべてのC2はまだTeamPCPの金銭化パイプラインに認証情報を供給します」と彼は述べています。「ポイントはワームではありません。防御者を圧倒しながら認証情報が裏口から出ていくことがポイントです。」
将来のワームに対する厄介な影響
これは、Münchがクローンについて最も「不安な詳細」と呼んだことに結びついています。攻撃者は明らかに大きな結果なしにC2と署名キーをスワップできます。
「見出しクローン(人気のあるchalk-templateパッケージのタイポスクワットとして公開されたchalk-tempalte)は、漏洩したShai-Hulud ソースのほぼ直接的なコピーです」と彼は書きました。「攻撃者は独自のC2エンドポイントと独自の署名キーをスワップし、難読化を気にすることなく、それを出荷しました。そしてそれは機能しました。」
バックエンドのインフォステーラーは4つのパッケージすべてで異なっていました。1つはShai-Hulud オープンソースバージョンと同じに見えましたが、他の3つは機能が異なっていました。Mondooが強調したように、これが重要である理由は、様々なインフォステーラーが「マシンアセンブル」であるように見えるということです。したがって、攻撃者は複数のペイロードをスピンアップし、4つの異なるマルウェアパッケージを同時に少ない労力で実行できます。
Culleyが述べているように、防御者は1度に1つのワームを追いかけていたため、昨年Shai-Hulud を打ち負かすことができました。「ここからは、彼らは集団を追いかけています。異なるC2、異なるキー、異なるペイロードを持つバリアント。危険であるのに十分なDNAを共有していますが、署名を共有するには十分ではありません。」
Mondooのブログ投稿によると、パッケージマネージャーで3つのコントロールをオンにすると、Shai-Hulud とこれらのクローンの脅威を中和する必要があります。開発者はデフォルトでライフサイクルスクリプトをブロックし、リリースクールダウンを実行し、信頼ダウングレードを検出する必要があります。
「パッケージマネージャーを超えて、CI/CDパイプラインを展開メカニズムではなく、攻撃サーフェスとして扱ってください」とMünchは書きました。「どの依存関係が実際にインストール時のコード実行を必要とするか監査し、その理由を文書化してください。開発者のワークステーションまたは影響を受けたパッケージに触れたCIランナーにあった認証情報をローテーションしてください。そして、今週フラグされた4つのパッケージがダウンロード数が少ないため、環境が影響を受けないと仮定しないでください。同じテクニックが、まだ捕まっていない行為者によって今この瞬間に適用されています。」
翻訳元: https://www.darkreading.com/application-security/shai-hulud-worm-clones-spread-code-release
