オープンソースソフトウェアのサプライチェーンが、またも奇妙で杜撰な攻撃に晒されている。OX Securityのサイバーセキュリティ研究者らは、機密性の高いユーザーデータを窃取してリモートリポジトリにアップロードするよう設計された悪意あるnpmパッケージを発見した。
しかしこの攻撃は予想外の展開を見せた。脅威アクター自身のGitHubアクセストークンが、スクリプト内にハードコードされた状態で発見されたのだ。
この致命的なミスは、サイバーセキュリティの世界で拡大しつつある危険なトレンドを浮き彫りにしている。経験の浅い脅威アクターたちが、深い技術的知識を必要とせずにマルウェアを生成するために、人工知能をますます活用するようになっているのだ。
これによりサイバー犯罪への参入障壁は下がる一方、基本的な運用セキュリティやベストプラクティスを完全に無視した杜撰なマルウェアが生み出される結果にもなっている。
無害な内部ユーティリティを装ったこの悪意あるスクリプトは、「アーカイブデプロイメント同期」ツールであると主張している。インストール後のフェーズでは、GitHubリポジトリを検証し、軽量なネットワーク状態のスナップショットを取得するかのように振る舞う。
疑惑を持たれないよう、スクリプトはコメントやコミットメッセージに無味乾燥で高度に技術的な文言を使用している。
さらに偽のネットワーク接続ログを生成することで、その実行が不正なデータ収集ではなく、標準的なシステム診断であるかのように見せかけている。
こうした偽装の裏側では、純粋なデータ窃取が行われている。スクリプトは環境トークンを使用してGitHubに認証し、それが利用できない場合は攻撃者がハードコードしたフォールバックトークンを使用する。
攻撃者のターゲットリポジトリが存在するかどうかを確認し、存在しない場合は自動的に作成する。
その後、マルウェアは被害者のローカルディレクトリを再帰的に検索し、発見したすべてのファイルをGitHub Contents APIを使用してアップロードする。
データはシームレスに転送できるよう、Base64エンコードを使用してリモート転送用に準備される。
窃取した情報を整理するために、マルウェアは実行ごとに生成されるランダムなフォルダ名の下に流出ファイルを保存する。これにより脅威アクターは、異なる被害者からの複数の窃取セッションを区別することができる。
研究者らは、攻撃者のGitHubアカウントが最初の悪意あるnpmバージョンがアップロードされるわずか数時間前に作成されていたことを発見した。
攻撃者はアカウントが最終的に削除される前に、「test」リポジトリで約7回の実際の流出テストを実施しており、その行動の明確な痕跡を残していた。
このnpmパッケージをダウンロードまたは操作したことがある場合、環境を保護するために即座にインシデント対応措置を講じる必要があると、セキュリティ研究者らは述べている。
脅威アクターが機密ファイルをコピーした可能性があり、このパッケージの存在はシステムの完全性を損なっている。
AIによって悪意あるコードを作成する障壁が大幅に低下するにつれ、組織は杜撰なマルウェアキャンペーンの急増を覚悟しなければならない。
こうした低スキルの攻撃者の多くは、データを窃取するために持続的標的型攻撃(APT)グループを模倣しようとするだろう。
npmのようなパッケージマネージャーがより厳格な自動マルウェアブロックを実装するまで、開発チームはこうした不格好ながらも危険なサプライチェーンの脅威に対して高度な警戒を維持しなければならない。
翻訳元: https://cyberpress.org/ai-npm-malware-backfires/