npmエコシステムは現在、人気のある@antVパッケージと関連プロジェクトをターゲットにした大規模なサプライチェーン攻撃に直面しています。Socketの研究者は、ミニ・シャイ・フルード脅威アクターに関連する高度に調整された悪意のあるパブリッシュウェーブを特定しました。
atoolという重要なメンテナーアカウントを侵害することで、攻撃者は広く使用されているデータ可視化およびReactコンポーネントライブラリにマルウェアを正常に注入しました。
このセキュリティ侵害は、開発者にとって実質的な潜在的影響範囲をもたらします。
影響を受けたパッケージには、約110万の週間ダウンロードを記録するecharts-for-reactが含まれており、@antv/g2、@antv/g6、@antv/x6などのコアエコシステムライブラリと一緒に存在します。
1晩にして、攻撃者は323のユニークパッケージ全体で639の侵害されたパッケージバージョンをパブリッシュしました。
悪意のあるペイロードは、シンプルなライフサイクルスクリプト変更を使用してインストール中に自動的に実行されます。
攻撃者はパッケージ設定ファイルを変更して、Bunランタイムを使用してルートレベルのJavaScriptファイルを実行するプリインストールフックを含めました。
この高度に難読化されたファイルは、カスタムデクリプタとランタイム文字列デコーディングを使用して単純な静的分析を回避します。
トリガーされると、マルウェアはGitHub Actions、GitLab CI、Jenkinsを含む開発者環境と一般的なCI/CDプラットフォーム全体で高価値のシークレットを積極的に探します。
GitHubトークン、npmトークン、AWSの認証情報、Kubernetesサービスアカウント、およびデータベース接続文字列をスキャンします。
ディフェンダーがネットワークログから盗まれた平文を簡単に復元できないようにするため、ペイロードはデータをシリアライズし、圧縮し、AES-256-GCMとRSA-OAEPの組み合わせを使用して暗号化します。
主なデータ流出エンドポイントは、トラフィックをハードコードされたHTTPSドメインにルーティングします。ただし、マルウェアはGitHubを利用した高度にクリエイティブなフォールバックメカニズムも備えています。
スクリプトがGitHubトークンの盗取に成功した場合、被害者のアカウント配下に新しいリポジトリを作成して盗まれたデータを保存します。
これらのリポジトリは、sayyadina-stillsuit-852やatreides-ornithopter-112などのDuneテーマの命名規則により簡単に特定できます。
また、「Shai-Hulud: Here We Go Again」に翻訳される反転キャンペーンマーカーも含まれており、これは現在、GitHubの公開検索でほぼ2,000のリポジトリに表示されています。
データ盗難を超えて、このミニ・シャイ・フルード変種は、感染をさらに広げるためにワーム様の機能を採用しています。
マルウェアは盗まれたnpmトークンを使用してレジストリAPIをクエリし、侵害された被害者が管理できる他のパッケージを列挙します。
その後、パッケージtarballsを自動的にダウンロードし、悪意のあるプリインストールフックを注入し、バージョン番号を上げて、汚染されたパッケージをレジストリに再度パブリッシュします。
注入されたコードはまた、悪意のあるGitHub依存関係を導入し、インストール中に攻撃者に代替実行パスを提供します。
翻訳元: https://cyberpress.org/hackers-hijack-antv-packages/