TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

Mini Shai-Hulud、AntVエコシステムの数百個のnpmパッケージを攻撃

Mini Shai-Huludワームが、これまでで最大規模の単一レジストリウェーブの1つとして再び現れ、AntVデータビジュアライゼーションエコシステムに関連する数百個のnpmパッケージを、約1時間続いた協調的な攻撃で襲撃しました。

Socketの脅威研究チームによる新しい分析によると、攻撃は5月19日協定世界時01時56分頃に始まり、323個の一意なパッケージにわたって639個の悪意のあるバージョンをプッシュした後、約1時間後に停止しました。

広範なMini Shai-Huludキャンペーンに対するDefenderの保護ガイダンスを以前に公開したMicrosoftは、新しいサプライチェーン攻撃に関する独自の調査からの更新も、  X 5月19日火曜日を通じて提供しました。

影響を受けたいくつかのパッケージは、echarts-for-react、size-sensor、@antv/scale、timeago.jsなどを含む高ダウンロードのnpm依存関係です。侵害されたnpmメンテナーアカウント「atool」は、500以上のパッケージの公開権を保有していました。

侵害されたアカウント、既知の手口

各悪意のあるバージョンは、クラウド認証情報、CI/CDトークン、SSHキー、Kubernetesサービスアカウントトークン、ローカルパスワードマネージャーボルトを収集する498 KBの難読化されたBunバンドルを実行するpreinstallフックをpackage.jsonに追加しました。

ペイロードは、盗まれたトークンを使用して作成された公開GitHubリポジトリを通じて盗まれたデータを流出させました。これらは「Shai-Hulud: Here We Go Again」と逆さに読める説明マーカーを含むDuneユニバース用語にちなんで名付けられていました。

Upwindのセキュリティ研究リーダーであるAvital Harelは、この操作は成熟しており防御者の意識があり、攻撃者がマルウェアを検出および分析するために使用されるツールを予測していたと述べました。

「このキャンペーンは拡散するためだけでなく、分析を遅延させるためにも構築されていました」と彼女は説明しました。

このキャンペーンについてさらに詳しく:Mini Shai-Hulud、TanStack npmパッケージを攻撃

Socketは、この取引技法を「協調された悪意のある公開を伴う高ボリュームのnpm侵害パターン」と矛盾しないと説明しました。

全ウェーブを通して、同社はnpm、PyPI、およびComposerにまたがる502個の一意なパッケージにわたって1055個の侵害されたバージョンを追跡しています。

キャンペーンマーカーを含む2500以上のGitHubリポジトリをログに記録したStepSecurityは、より広い活動をTeamPCPとして知られる金銭的に動機付けられたクラスターに起因すると述べました。

なりすまし認証によるTrusted-Repoホスティング

AntVウェーブは、以前のウェーブで使用されたペイロード配信技法を拡張しました。悪意のあるバージョンの大多数は、orphanコミットを指すoptionalDependenciesエントリを注入します。今回は関連のない信頼できるリポジトリであるantvis/G2に植え込まれ、そのプロジェクトの実在するメンテナーと一致する偽造されたオーサーシップを持っており、より詳しい検査を抑止します。

GitHubは、リポジトリのフォークネットワーク全体の共有オブジェクトプール内にコミットを保存し、npmのgithubリゾルバーはコミットがどのフォークにあるかを確認せずにコミットハッシュによってフェッチします。これにより、攻撃者は自分のantvis/G2フォークにコミットをプッシュし、親リポのURLから提供させることができます。

ソフトウェアセキュリティ企業Semgrepの創設者兼CEOであるIsaac Evansは、このカスケードは依存関係がどのように信頼されるかに関する構造的な問題を反映していると述べました。

「何年も信頼していたパッケージが突然配信メカニズムになる可能性があります」と彼は警告しました。

Snykは、影響を受けた組織に対して、インストール中にアクセス可能なシークレットを侵害されたものとして扱うよう勧告しました。これには、組織スコープのGitHub ActionsシークレットとOIDCトークンが含まれます。

推奨される手順には、依存関係を5月19日より前に公開されたバージョンに固定し、影響を受けたビルド環境に公開されたすべての認証情報をローテーションし、キャンペーンのDuneテーマの命名パターンと逆さ文字列説明マーカーと一致する不正なリポジトリ作成についてGitHubアカウントを監査することが含まれます。

翻訳元: https://www.infosecurity-magazine.com/news/antv-npm-mini-shai-hulud-largest/

ソース: infosecurity-magazine.com
#AntV エコシステム #CI/CD セキュリティ #GitHub 侵害 #Mini Shai-Hulud #npm パッケージ攻撃 #オープンソース セキュリティ #サプライチェーン攻撃 #マルウェア #依存関係管理 #認証情報盗難

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新