TokyoBlackHatNews

csoonline.com 5分で読了

AntV データ可視化ツールが進行中のnpm サプライチェーン攻撃の最新の標的に

最大規模のインシデントは、開発者が緊急にパッケージセキュリティをチェックすべき警告である、と専門家は述べています。

世界最大のオープンソースレジストリであるnode package manager(npm)が、今回は広く使用されているAntVエンタープライズデータ可視化ツールを標的とした、別の高速かつ動的なマルウェア攻撃を受けました。

先週のハイプロファイルなnpm攻撃(TanStackを対象)がGitHub Actionsのキャッシュポイズニングの複雑な脆弱性を悪用したのとは異なり、5月19日初期の最新のインシデントは、高い価値を持つnpmメンテナアカウントの認証情報を侵害するより従来的なルートを取りました。

SafeDepの分析によると、timeago.js JavaScriptライブラリを公開しているatool([email protected])というアカウントは、size-sensor(月間420万ダウンロード)、echarts-for-react(380万)、@antv/scale(220万)、timeago.js(115万)などの人気ツールを含む大規模なパッケージカタログへのアクセス権を持っていました。

このレベルの権限により、攻撃者は22分間のバースト内で317の異なるnpmパッケージにわたって少なくとも637の悪意のあるバージョンを公開することができました。これにより、ダッシュボード、ユーザーインターフェース、対話型アプリケーションを構築するために使用されるアジア、米国、ヨーロッパ全域で成長しているプラットフォームであるAlibabaのAntVネームスペースの大部分が侵害されました。

今年のnpmサプライチェーンへの攻撃は困難なトレンドを示しており、Aikido Securityはその分析で述べています。「これは私たちが追跡した3番目の主要な波です。4月のわずかなSAPパッケージから、TanStackの波の169パッケージへ、そして今はより大規模なパッケージセットへと進化しました。各波は前の波よりも速く、より広範でした。」

「また始まった」

悪意あるパッケージの1つに感染するという不運に見舞われた人は、最近GitHubで他の犯罪者に簡単に公開されたソースコードを持つ強力なMini-Shai-Huludワームの受け取り側に直面することになります。

その目的は、npmおよびGitHubトークン、ならびに複数のクラウドプラットフォーム、Kubernetes、Docker、Hashicorp、パスワードボールト、SSHキー、Bitcoinウォレットを含む130のファイルパスからの認証情報を盗むことです。

不明な理由のため、攻撃者はその後盗まれたCI/CDトークンを使用して、SF小説Duneをテーマにした公開GitHubリポジトリに流出データを保存します。このリポジトリは攻撃から数時間以内に2,500個の数に増加しました。各リポジトリの説明には、「niagA oG eW ereH :duluH-iahS」(「Shai-Hulud: Here We Go Again」を逆にしたもの)という文字列が含まれています。

理論的には、マルウェアは~/.local/share/kitty/cat.pyにインストールされたPythonベースのバックドアを介した永続性も可能ですが、セキュリティ企業Wizによると、この機能はまだアクティブなようには見えません

キャンペーンの背後にあるグループであるTeamPCPは野心に欠けていません:マルウェアはClaude Codeのsettings.json変更しようとさえしており、これにより感染したnpmパッケージが削除された場合に、マルウェアが完全なLLM権限を持つステルスで再インストールされることが可能になります。

次のステップ

攻撃が検出された後、AntVのメンテナーはGitHubで以下の警告を発表しました

「外部のワーム攻撃の影響により、AntV関連のnpmパッケージが侵害されました。感染したパッケージは削除されましたが、残っているパッケージは非推奨としてマークされています」と述べられています。「ユーザーは注意深く最新バージョンを識別してダウンロードすることをお勧めします。AntVはnpmレジストリに積極的に連絡しており、非推奨パッケージを削除するよう働きかけています。」

つまり、悪意のあるバージョンは削除されていますが、残りのパッケージは極度の注意を持って扱うべきであり、開発者が既知の安全なバージョンを監査して移動するインセンティブを提供します。

攻撃が同じライブラリの複数のバージョンに感染したため、既知の安全なバージョンを確立することは危険です。開発者は侵害されたパッケージのリスト(SafeDepによってCSVとして公開)に相談できますが、AntVライブラリのいずれかのバージョンが使用されている場合、感染の可能性があると想定するのが安全です。

それ以上に、推奨されるアクションはCI/CD環境とリポジトリで侵害の兆候を探し、すべての認証情報をローテーションすることです。

しかし、専門家からの最も重要なアドバイスはより単純です:監視とパッケージ検証を改善することにより、npmを標的とした将来の攻撃に対する防御を強化します。

この記事はもともとInfoWorldに掲載されました。

翻訳元: https://www.csoonline.com/article/4173291/antv-data-visualization-tool-the-latest-to-be-hit-by-ongoing-npm-supply-chain-attacks-2.html

ソース: csoonline.com
#AntV #CI/CD #npm セキュリティ #インシデント対応 #オープンソース #パッケージ管理 #マルウェア #供給チェーン攻撃 #認証情報窃取 #開発者セキュリティ

関連記事

Microsoftがランサムウェアギャングが使用するマルウェアコード署名サービスを破壊

請負業者の公開GitHubアカウントがGovCloudとCISA認証情報を露出

GitHubはバグバウンティを縮小、ユーザーもセキュリティは自分の責任であることを改めて認識させる