セキュリティ
TeamPCPによるものか、それとも模倣犯か?
セキュリティ研究者たちは月曜日、TeamPCPサイバー犯罪グループが最近オープンソース化した Mini Shai-Hulud ワームに感染した Red Hat の npm パッケージが多数存在することを発見しました。
Googleが所有するWizのセキュリティ研究者によると、この新たなサプライチェーン攻撃は少なくとも32件のnpmパッケージリリースに影響を与えており、それらはすべてRed Hat Cloud Services ネームスペース下で公開されていました。研究者たちはマルウェアの出所を、Red Hat社員1名の侵害されたGitHubアカウントに特定しています。被害を受けたパッケージの週間ダウンロード数は約8万件に上るとのことです。
「侵害されたアカウントは、コードレビューを回避して悪意のある孤立コミットを2つのRedHatInsightsリポジトリにプッシュしました」と脅威ハンターたちは月曜日のブログ記事に記しています。「この活動は2つの波にわたって発生しました。」
Wizはこれを「現在進行中の脅威」と位置づけており、研究者たちが新たな動向を積極的に監視していると述べています。
一方、Socketは協定世界時11時00分22秒時点で影響を受けたパッケージバージョンを95件と集計しています。このサプライチェーンセキュリティ企業は継続的に攻撃を監視し、対象アーティファクトのリストを更新しています。侵害されたバージョンをインストールした場合は、組織や開発パイプラインを侵害されたと見なし、直ちに認証情報をローテーションしてください。
侵害されたバージョンはpreinstallフックを通じて隠しペイロードを実行する仕組みになっており、開発者がパッケージをインポートまたは使用する前の npm install プロセス中に、マルウェアが自動的に起動します。
「Socketの分析によると、このペイロードはGitHub Actionsのシークレット、npmトークン、クラウド認証情報、KubernetesおよびVaultのマテリアル、SSHキー、Git認証情報、その他の機密ファイルを収集するよう設計されています」とSocketの研究チームは月曜日に記しています。「また、暗号化された情報窃取ロジックとGitHubベースのフォールバック機構も含まれており、攻撃者が認証情報の窃取だけでなく、サプライチェーンのさらなる伝播を可能にしようとしていたことがうかがえます。」
Red Hatの広報担当者はThe Registerに対し、このIBM傘下のソフトウェア企業が一連の報告を把握していると述べました。
「直ちに調査を開始し、npmレジストリからパッケージを削除しました。これらのパッケージは内部開発に限定されており、悪意のあるコードがconsole.redhat.comシステムを通じて顧客向けに公開されたことはありません。調査は現在も継続中ですが、顧客やパートナーの環境、またはRed Hatの本番システムへの影響は確認されていません。」
両セキュリティ企業はこのマルウェアがMini Shai-Hulud ワームに酷似していると述べています。しかしTeamPCPがこの認証情報窃取ツールをオープンソース化したことにより、TeamPCPと模倣犯グループのどちらが今回の開発者を標的としたサプライチェーン感染を引き起こしたのかを特定することは困難な状況です。
Wizによると、加えられた改変は「ほぼ外観上のものにとどまり、デューン宇宙への参照がギリシャ神話のテーマ(例:’spartan’)に置き換えられている一方、基本的な機能と手口は実質的に同一のまま」だということです。
この新変種で特筆すべき変更点の一つとして、Google Cloud PlatformおよびMicrosoft Azureのアイデンティティに対応したデータ収集機能が追加された点が挙げられます。この新機能により、クラウド環境からシークレットを盗むにとどまらず、感染したマシンがアクセスできるすべてのアイデンティティが収集されます。Wizはこれを「攻撃者がクラウドそのものへのアクセス取得と活用に、より強く注力していることを示している」と警告しています。
この変種はまた、「Miasma: The Spreading Blight」という説明文を含むリポジトリを新たに作成します。
さらに、自己拡散する従来の変種が自分自身をコピーしていたのとは異なり、この新変種は感染ごとに一意に暗号化されたペイロードを生成します。そのため、ハッシュベースの侵害指標(IoC)は特定のパッケージバージョンに対してのみ有効となります。®
