脅威アクターが、従来のサプライチェーン攻撃パターンとは異なる新たなフィッシングキャンペーンで正規のNPMインフラを悪用しています。
最近のNPMエコシステムを標的とした攻撃では、パッケージに悪意のあるコードを注入して開発者やそのユーザーに感染させる、またはワームのような挙動を追加する手法が使われてきました。
新たに確認された「Beamglea」と呼ばれるキャンペーンでは、悪意のあるパッケージはコードを実行せず、正規のCDNサービスunpkg[.]comを悪用して、無防備なユーザーにフィッシングページを配信しています。
9月下旬、SafetyのセキュリティリサーチャーPaul McCartyが、これらの攻撃に使われた120個のパッケージを特定しました。現在では、その数は175を超えているとサイバーセキュリティ企業Socketは述べています。
これらのパッケージは、エネルギー、産業機器、テクノロジー分野の135以上の組織を標的としており、合計で26,000回以上ダウンロードされていますが、その多くはセキュリティリサーチャーや自動スキャナー、解析ツールによるものです。
Socketによると、これらのパッケージはランダムな6文字の文字列を含む名前で、「redirect-[a-z0-9]{6}」というパターンに従っています。NPMに公開されると、unpkg.comがHTTPS CDN URL経由で利用可能にします。
「脅威アクターは、発注書やプロジェクト文書を装ったHTMLファイルを標的の被害者に配布する可能性があります。配布方法は正確には不明ですが、ビジネス文書のテーマや被害者ごとのカスタマイズから、メール添付やフィッシングリンクによる配布が示唆されます」とSocketは指摘しています。
被害者がHTMLファイルを開くと、これらのパッケージ内の悪意あるJavaScriptコードがunpkg.com CDNからブラウザで読み込まれ、被害者はフィッシングページにリダイレクトされ、認証情報の入力を促されます。
Socketはまた、脅威アクターがPythonツールを使ってキャンペーンを自動化していたことも発見しました。このプロセスは、被害者がログインしているかを確認し、認証情報の入力を促し、メールアドレスとフィッシングURLをJavaScriptテンプレートファイル(beamglea_template.js)に挿入し、package.jsonを生成して公開パッケージとして公開し、unpkg.com CDN参照付きのHTMLファイルを生成します。
「この自動化により、脅威アクターは各被害者ごとに手動で介入することなく、異なる組織を標的とした175個のユニークなパッケージを作成できました」とSocketは述べています。
脅威アクターはこれらのパッケージに誘導する630以上のHTMLファイルを生成しており、すべてのファイルにはmetaタグにキャンペーン識別子nb830r6xが含まれています。これらのファイルは、発注書、技術仕様書、プロジェクト文書を模倣しています。
「被害者がこれらのHTMLファイルをブラウザで開くと、JavaScriptが直ちにフィッシングドメインへリダイレクトし、被害者のメールアドレスをURLフラグメントで渡します。フィッシングページはメール欄を事前入力し、被害者がすでに認識されている正規のログインポータルにアクセスしているかのような説得力のある外観を作り出します」とSocketは述べています。
標的となった組織には、Algodue、ArcelorMittal、Demag Cranes、D-Link、H2 Systems、Moxa、Piusi、Renishaw、Sasol、Stratasys、ThyssenKrupp Nuceraなどが含まれます。攻撃は主に西ヨーロッパ諸国に集中しており、北ヨーロッパやアジア太平洋地域でも追加の標的が確認されています。
サイバーセキュリティ企業Snykによると、「mad-*」という命名規則を使う追加のパッケージも同様の挙動を示しているようですが、現時点ではこのキャンペーンとの関連は確認されていません。
「このパッケージには偽の『Cloudflareセキュリティチェック』ページが含まれており、ユーザーを攻撃者が管理するURLへ密かにリダイレクトします。このURLはリモートのGitHubホストファイルから取得されます。また、検査ショートカットをブロックする一般的なアンチ解析ロジックや、偽の認証チェックボックスがクリックされた後にトップウィンドウへリダイレクト(フレームバスティング)を試みる機能も含まれています」とSnykは述べています。
