広く使われているnpmパッケージ「art-template」が乗っ取られ、巧妙なウォータリングホール型サプライチェーン攻撃を通じてCorunaスタイルのiOS Safariエクスプロイトフレームワークを配布するために悪用されました。悪意あるペイロードは、侵害されたブラウザバンドルを通じてiOS 11.0〜17.2のユーザーを標的にしています。
SocketのThreat Researchチームによると、art-templateの元メンテナーであるauiは、プロジェクトが非アクティブになった後にメンテナンスを引き継ぐと主張した不明なアクターにプロジェクトの管理権限を譲渡したとのことです。
AUIによれば、新たな管理者は外部スクリプトを読み込むバージョンを素早くプッシュし始め、その後懸念を指摘したGitHubのIssueを削除しました。このパターンは、偶発的な設定ミスではなく、メンテナーが関与した意図的な侵害と一致しています。
主要なインプラントである49554fde7424c31c.jsは、Safari/WebKit専用に設計された高度に難読化されたJavaScriptフレームワークで、iOS 11.0〜17.2およびmacOS Safariの一部を明示的に標的とし、Chrome、Firefox、Edge、Android、iOS 17.3以降を明確に拒否します。
ロード時、直ちに被害者のパブリックIP、デバイスのOSバージョン、およびキャンペーンコードをC2サーバー(l1ewsu3yjkqeroy[.]xyz)へ10秒ごとに送信し始め、検知を回避するために無害に見えるIPオラクルとしてipv4.icanhazip.comを使用します。
Socketの調査によると、このフレームワークは5段階のアンチボットおよび環境チェックを実行します。navigator.webdriverによる自動化のブロック、WebRTCおよびWebGLサポートの確認、MathMLのカラーレンダリングトリックによるヘッドレスブラウザの排除、正確なデバイスフィンガープリントのためのIndexedDBまたはWeb SQL/localStorageの動作確認、そしてサンドボックスでのハングを回避するためのタイムアウト処理が含まれます。
これらすべてのチェックを通過した本物のSafari/WebKit環境のみが次の段階へ進み、WebAssemblyベースのメモリレイアウト調査、Mach-Oマジックスキャンによるアーキテクチャ検出、そして汎用的なフィッシングではなくWebKit JITエクスプロイトの準備を強く示唆するバージョン固有のオフセット計算が実行されます。
インプラントは次に、iOSバージョン帯に対応するバージョン固有のフラグ(mmrZ0r、RbKS6p、ShQCsB、KeCRDQ、JtEUci、wC3yaB)のいずれかを割り当て、iOS 17.3でハードカットオフを設けます。
この時点で、すべてのペイロードフラグはリセットされます。各フラグは、秘密のセッションキーによってゲートされたSHA-256由来のパスを介してutaq[.]cfww[.]shopから取得される、コンテントアドレス型のリモートモジュールに対応しており、正しいキーが使用されない限り実際のエクスプロイトコードは隠匿されたままとなります。
主要ターゲット層であるiOS 16.6〜17.2(自動更新を行っていないiPhoneの大部分をカバー)では、JtEUciパスがトリガーされ、専用のWASMローダーと、その後に最終的な.lA()ペイロードが取得されます。その正確な動作は現在も分析中です。
注意: IPアドレスおよびドメインは、偶発的な名前解決やハイパーリンク化を防ぐため、意図的に無害化(例:[.])されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再有効化してください。
翻訳元: https://cyberpress.org/art-template-package-compromised/