月曜日、ハッカーがRed HatのNPMリポジトリを新たなサプライチェーン攻撃の標的とし、認証情報を窃取するワームを配布するため、32のパッケージに悪意のあるバージョンを公開しました。
ReversingLabsによると、脅威アクターはおそらく自動化ツールを活用し、わずか72秒以内にすべての32パッケージに汚染されたバージョンを公開したとされています。
影響を受けたパッケージはRed Hat Hybrid Cloud ConsoleのJavaScriptエコシステム全体にわたり、合計で約1,000万回ダウンロードされています。
Aikidoによると、攻撃者はCI/CDパイプラインを侵害し、GitHub Actions OIDCを利用して悪意のあるパッケージバージョンを公開した可能性が高いとしています。ReversingLabsは、ハッカーが@redhat-cloud-servicesのNPMスコープ認証情報にアクセスできる状態にあったと見ています。
これらのパッケージにはpreinstallフックが仕込まれており、パッケージのインポートや使用前に、NPMインストール時にマルウェアが実行される仕組みになっていました。
ペイロードには「Miasma: The Spreading Blight」という文字列が含まれており、TeamPCPがここ数カ月にわたってオープンソースソフトウェアコミュニティを狙った複数の攻撃で使用した、Mini Shai-Huludワームの亜種とみられています。
このハッキンググループは先月、マルウェアのソースコードを公開し、チャレンジの一環としてサプライチェーン攻撃への悪用を呼びかけていました。
Ox Securityによると、今回のRed Hat侵害の背後にいる脅威アクターは、5月29日に能力をテストする目的とみられるリポジトリへの感染を試みていたとしています。
Socketによると、このマルウェアは「GitHub Actionsのシークレット、npmトークン、クラウド認証情報、KubernetesおよびVaultの資材、SSHキー、Git認証情報、その他の機密ファイル」を収集するよう設計されていました。
Mini Shai-Huludと同様に、収集したデータを攻撃者が制御するサーバーへ送信し、新たに作成した公開GitHubリポジトリに盗んだ情報を公開するフォールバック機構も備えています。
感染の全容は依然として不明ですが、Oxは盗まれた認証情報を含む210のリポジトリを特定しており、少なくともそれと同数の開発者が悪意のあるRed Hatパッケージバージョンをダウンロード・インストールして感染した可能性を示唆しています。
マルウェアは盗んだGitHubトークンを使ってリポジトリを列挙しようとする動作も確認されています。また、GitHub Actionsのワークフローを改ざんするロジックを持ち、リポジトリやアクションに悪意のあるindex.jsペイロードを書き込む能力も備えています。
Red Hatのメンテナーは影響を受けた32すべてのパッケージのクリーンなバージョンを公開しており、悪意のあるバージョンはNPMから削除されています。
ユーザーはできる限り早急にクリーンなリリースへ更新することが推奨されます。悪意のあるバージョンをインストールした方は、自身のシステムおよびビルド環境が侵害されたものと見なし、マルウェアがアクセスした可能性のある認証情報、トークン、APIキー、その他の機密情報を直ちにローテーションしてください。
また、これらのパッケージは間接的なライブラリとして広く使用されているため、推移的な依存関係の確認も推奨されています。あわせて、環境内の異常なアウトバウンド接続を監視することも重要です。
翻訳元: https://www.securityweek.com/supply-chain-attack-hits-32-red-hat-npm-packages/
