大規模なnpmサプライチェーン攻撃が@antverエコシステム内の複数の広く使用されているパッケージを侵害し、Mini Shai-Huludマルウェアファミリーに関連する積極的で急速に進化するキャンペーンと思われるものを調査しています。
攻撃は、複数の人気のあるJavaScriptライブラリに関連付けられているnpmメンテナーアカウント「atool」の侵害を中心としています。
影響を受けたパッケージの中には、echarts-for-reactがあります。これはApache EChartsの広く採用されているReactラッパーで、約110万の週次ダウンロード数を記録しています。
Socketの研究者は急速に悪意のある公開活動にフラグを立て、影響を受けたバージョンをマルウェアとして分類しました。
このキャンペーンは「Mini Shai-Hulud」と呼ばれる既知の攻撃パターンと一致しており、侵害されたメンテナーアカウントに関連するパッケージ全体での調整された悪意のある公開を特徴としています。
Socketが発行しGBhackersと共有したレポートでは、@antv/g2、@antv/g6、@antv/x6、@antv/l7、@antv/g2plotなどのコア@antverライブラリを含む数百の影響を受けたパッケージ、およびtimeago.js、size-sensor、canvas-nest.jsなどの他の広く使用されているパッケージを特定しました。
これらのライブラリはデータビジュアライゼーション、グラフ作成、およびフロントエンドエコシステムに深く組み込まれているため、特に依存関係の更新を自動的にインストールする環境では、潜在的なダウンストリームの影響は大きいです。
5月19日だけで、Socketは1時間のウィンドウ内で323個の一意のパッケージにまたがる639の悪意のあるパッケージバージョンを検出しました。
Mini Shai-Hulud攻撃
検出は急速に行われ、ほとんどの悪意のあるバージョンは公開から数分以内に特定され、自動監視機能を示しながらも、攻撃の速度を強調しています。
より広いキャンペーン全体では、研究者はnpm、PyPI、およびComposerリポジトリ全体で1,000以上の侵害されたバージョンを追跡しており、npmが圧倒的多数の活動を占めています。
悪意のあるパッケージの技術的分析は、一貫したペイロード設計を示しています。攻撃はルートレベルのindex.jsファイルを注入し、パッケージ構成を変更してpreinstallスクリプト経由でインストール中に実行します。
ペイロードは重度に難読化されており、ランタイムデコーディングとカスタム復号化ルーチンを使用してその機能を隠しています。
実行されると、マルウェアは開発環境とCI/CD環境の機密データをターゲットにします。GitHubトークン、npmトークン、AWSキー、Kubernetesシークレット、SSHプライベートキー、データベース接続文字列を含む認証情報をスキャンします。
また、GitHub Actions、GitLab CI、Jenkins、Azure DevOpsなどの主要なCI/CDプラットフォームからシークレットを識別して抽出するロジックも含まれています。
盗まれたデータはAES-256-GCMを使用して暗号化され、ハードコードされたコマンドアンドコントロールエンドポイントに送信されます。検出をさらに回避するために、マルウェアはGitHubを使用したフォールバック流出方法を実装しています。
有効なGitHubトークンが見つかった場合、被害者のアカウント下にリポジトリを作成し、盗まれたデータをファイルとしてアップロードし、悪意のある活動と合法的な開発者ワークフローを混ぜることができます。
研究者はすでにこのキャンペーンに関連する数千の疑わしいGitHubリポジトリを観察しており、多くは逆転した「Shai-Hulud」マーカーとDuneをテーマにした命名規則を使用しています。
この動作は、GitHubベースの流出チャネルが規模を活かして積極的に使用されていることを強く示唆しています。
攻撃のもう1つの重要な側面は、自己伝播機能です。ペイロードは盗まれたnpm認証情報を検証し、追加のパッケージを変更し、悪意のあるコードを注入し、侵害されたメンテナーのIDの下で再公開することができます。
このワーム状の動作により、攻撃がnpmエコシステム全体に急速に拡散することが可能になります。
ペイロードは以前のMini Shai-Huludバリアントとは若干異なりますが、ライフサイクルスクリプト実行、難読化、認証情報収集、暗号化された流出、およびGitHubなどの信頼されたプラットフォームの悪用を含むコア技術は一貫しています。
調査は進行中であり、研究者がキャンペーンの分析を続けるにつれて、追加の影響を受けたパッケージとインジケータが出現することが予想されます。
侵害の兆候
ネットワークインジケータ
t[.]m-kosche[.]comhttps://t[.]m-kosche[.]com:443/api/public/otel/v1/traceshttps://fulcio[.]sigstore[.]dev/api/v2/signingCerthttps://rekor[.]sigstore[.]dev/api/v1/log/entries
GitHubリポジトリマーカー
niagA oG eW ereH :duluH-iahSniaga og ew ereh :duluh-iahsShai-Hulud: Here We Go Againresults/results-*.json
リポジトリ命名パターンの例
<dune-word>-<dune-word>-<digits>sayyadina-stillsuit-852atreides-ornithopter-112harkonnen-phibian-552fremen-fedaykin-225kanly-lasgun-874
注: IPアドレスとドメインは意図的に無効化されています(例:[.])。偶発的な解決またはハイパーリンクを防ぐためです。MISP、VirusTotal、またはあなたのSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再有効化してください。
翻訳元: https://gbhackers.com/mini-shai-hulud-attack/
