マイクロソフトの研究者が、人気のある@antv Node Package Manager(npm)エコシステムを標的とするアクティブなサプライチェーン攻撃を発見しました。
脅威アクターがメンテナーアカウントを侵害し、広く使用されているデータビジュアライゼーションライブラリを通じて「Mini Shai-Hulud」マルウェアを配布しました。
この侵害により大規模なダウンストリーム影響が発生し、echarts-for-reactなどのライブラリに感染しました。このライブラリは週平均100万回以上ダウンロードされています。
悪意のあるペイロードは499 KBの難読化されたJavaScriptファイルで構成されており、npmインストール処理中にサイレントに実行されます。
Continuous IntegrationおよびContinuous Deployment(CI/CD)パイプラインを特に標的として設計されたこのマルウェアは、GitHub Actionsの環境とクラウドワークロードから積極的に認証情報を収集します。
GitHubは迅速に対応し、640個の悪意のあるパッケージを削除し、61,000以上のnpmトークンを無効化してさらなるダメージを防ぎました。@antv保守者も、リポジトリが現在セキュアであることを確認しています。
攻撃は、開発者が侵害された@antv パッケージのバージョンをインストールし、悪意のあるプリインストールフックをトリガーするときに始まります。このアクションにより、最終的に難読化されたペイロードを実行する複雑なチェーンが実行されます。
検出を回避するために、マルウェアはBase64エンコードされた回転配列とカスタムPBKDF2暗号による実行時復号化を含む2層の難読化技術を使用します。
スクリプトには厳密な環境ゲーティングが含まれており、GitHub Actions Linuxランナーを検出しない場合は直ちに終了します。
一度アクティブになると、マルウェアは複数のプラットフォーム全体で高価値のシークレットを探します:
Microsoftの研究によると、マルウェアはGitHub Actionsランナープロセスのメモリをスクレイプして標準的なシークレットマスキングをバイパスします。
また、パスワードレスのsudoルールを挿入し、DNS設定を操作することで権限をエスカレートします。
盗まれたデータは、その後HTTPS経由でプライマリコマンドアンドコントロールサーバーに流出され、Git Data APIを使用して被害者リポジトリ内に隠すフォールバックメカニズムが備わっています。
セキュリティチームは直ちに以下の緩和戦略を実装する必要があります:
注意: IPアドレスとドメインは、意図的にディフォングされています(例:[.])。これは誤った解決またはハイパーリンクを防ぐためです。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再フォングしてください。
翻訳元: https://cyberpress.org/mini-shai-hulud-steals-secrets/