新たに発見されたnpmエコシステムを標的とするサプライチェーン攻撃は、北朝鮮(DPRK)と関連する脅威アクターに関連付けられています。
このキャンペーンの中心となっているのは、悪意のあるnpmパッケージで、terminal-logger-utilsという名称で、キーロギング、データ流出、リモートシステム制御が可能な洗練された多段階マルウェアが組み込まれています。
このパッケージは、pretty-logger-utils、ts-logger-pack、pinno-loggersという3つの従属ライブラリを通じて配布され、インストール時に自動的に悪意のあるペイロードをトリガーします。この手法は、開発者が一般的に信頼している間接的な依存関係を悪用することで、感染の可能性を高めています。
調査官らは、このアクティビティを「jpeek895」というエイリアスで活動する脅威アクターに関連付けており、これまでにkmsec.ukのセキュリティ研究者によって報告された同様のnpmベースの攻撃に関連付けられています。
このキャンペーンに関連する追加のnpmアカウントには、pvnd3540749、yggedd817513、jpeek886が含まれており、エコシステム全体にわたる悪意のあるパッケージの配布を目指した組織的な取り組みを示唆しています。
OX Securityは、GBhackersと共有したレポートの中で、キーロガー、情報盗取、RAT動作を含む悪意のあるnpmパッケージについて述べています。攻撃は、package.jsonファイルに組み込まれた悪意のあるpostinstallスクリプトで始まり、utils.cjsという名前の難読化されたJavaScriptファイルを実行します。
このファイルはドロッパーとして機能し、被害者システムをプロファイリングし、プラットフォーム固有の第2段階のペイロードをダウンロードします。注目すべき点は、ペイロードが機械学習とAIモデル配布に広く使用されているプラットフォームであるHugging Faceでホストされていることです。
正当なプラットフォームの悪用というこの手法は、信頼できるインフラストラクチャが利用され、ネットワークセキュリティツールによる検出を回避する以前のキャンペーンで見られた戦術を反映しています。
ダウンロード後、第2段階のペイロードは、悪意のあるコードが組み込まれたバンドルされたNode.jsバイナリとして実行されます。マルウェアは、Windowsディレクトリ%LOCALAPPDATA%\MicrosoftSystem64に自身をインストールすることによって永続化を確立し、隠されたVBSスクリプトとスケジュール済みタスクを使用し、フォールバックメカニズムとしてレジストリRunキーを使用します。
HackerがHugging Faceを悪用
実行時に、マルウェアはシステムプロファイリング、クリップボード監視、継続的なキーストロークロギングを含む並列プロセスを開始します。
被害者マシンから収集されたデータは、/api/validate/keyboard-eventsなどのエンドポイントへの呼び出しを含むHTTPリクエスト経由で送信されます。特にパスワード入力などの機密入力は、認証情報の収集を強化するために個別に追跡されます。
マルウェアは、Telegram Desktopセッションファイル、ブラウザ認証情報データベース、暗号通貨ウォレット、SSHキー、AWS、Google Cloud、Azureのクラウド設定ファイルなど、幅広い高価値データを標的としています。
また、事前定義されたキーワードに一致するファイルのローカルドライブもスキャンします。盗まれたデータはしばしば圧縮され、Hugging Faceプラットフォームでホストされている攻撃者が管理するリポジトリにアップロードされます。一方、Telegramセッションデータはコマンド&コントロール(C2)サーバーに直接流出されます。
データ盗難に加えて、インプラントはWebSocketベースのC2チャネルを介した完全なリモートアクセス機能を提供します。これにより、攻撃者はシェルコマンドを実行し、ファイルを操作し、スクリーンショットをキャプチャし、ユーザー入力を注入できます。
マルウェアには自動更新メカニズムも含まれており、オペレーターはユーザーのインタラクションなしに、リモートリポジトリから新しいペイロードバージョンをデプロイできます。
セキュリティ専門家は、このキャンペーンがオープンソースエコシステムを標的とするサプライチェーン攻撃の増大する洗練さを浮き彫りにしていると警告しています。
信頼できるパッケージレジストリと正当なホスティングプラットフォームを組み合わせることで、攻撃者は従来の防御をバイパスし、開発者環境内での永続化を維持できます。
組織および開発者は、影響を受けたパッケージをすぐに削除し、ネットワークアクティビティが侵害の指標がないか監視し、認証情報をローテーションし、多要素認証を適用するよう求められています。このインシデントは、現代的なソフトウェア開発ワークフローにおける依存関係監査とランタイム監視の重要性を強調しています。
翻訳元: https://gbhackers.com/hackers-abuse-hugging-face/
