Red Hat公式のnpmネームスペースがハイジャックされ、クラウド認証情報や開発者の認証情報を窃取するバックドアが仕込まれたパッケージが配布されていたことが明らかになりました。広く利用されているソフトウェアを標的とした、スピーディーなサプライチェーン攻撃です。
ReversingLabsの新たな分析によると、攻撃者は6月1日、@redhat-cloud-servicesスコープに含まれる32パッケージの悪意あるバージョンを、わずか72秒以内に公開しました。
対象パッケージはUIコンポーネントやAPIクライアント、ビルドツールなど、Red HatのHybrid Cloud Consoleエコシステム全体に及び、累計ダウンロード数は約980万件に上ります。
今回の攻撃はタイポスクワッティングや類似名パッケージによるものではありません。攻撃者は正規の信頼されたネームスペースを掌握し、本物のパッケージにマルウェアを潜ませて再公開しました。開発者が既知ベンダーに寄せる信頼そのものが、配布手段として悪用されたのです。
インストール段階に潜むマルウェア
侵害された各パッケージには難読化されたプレインストールスクリプトが仕込まれており、アプリケーションコードが実行される前のインストール時に自動的に起動するようになっていました。そのため、パッケージを本番環境で使用したかどうかにかかわらず、インストールまたはビルドを実行するだけで被害を受ける可能性があります。
Aikido Securityによると、このペイロードはMini Shai-Huludワームの亜種であり、同社は「Miasma」という名称で追跡しています。
このマルウェアは機密情報の窃取を目的として設計されており、ReversingLabsは、クラウドプロバイダーのキー、CI/CDトークン、npmの認証情報など、開発者のマシン上にあるさまざまな機密データが標的になっていたことを確認しました。
先行するマルウェアの系譜に倣い、このマルウェアも自己拡散を試みます。窃取した公開トークンを使用して、侵害されたアカウントがアクセスできる他のパッケージにもバックドアを仕込んだバージョンを再公開しようとします。
信頼の仕組みが逆手に取られる
研究者たちが特に注目するのは、パッケージが公開された手口です。Aikidoの調査によると、悪意あるリリースはGitHub Actions OIDCトークンを使って公開されており、攻撃者が開発者の個人アカウントではなく、ビルドパイプライン自体を侵害していたことが示されています。
この点が重要なのは、OIDCベースの「トラステッドパブリッシング」がセキュリティ強化のために導入された仕組みだからです。ビルド時に発行される有効期限の短いトークンで、長期間有効なnpmトークンを置き換えることを目的としています。
しかし今回の事例が示すように、パイプライン自体が侵害された場合、この仕組みは悪用される可能性があります。防御側が信頼の根拠として頼りにしていたシグナルが、実態を反映しなくなるのです。
類似攻撃の詳細はこちら:Mini Shai-HuludがTanStack npmパッケージを直撃
この活動が分析された時点では、正規のメンテナーがすでに32パッケージすべての正常版を公開しており、悪意あるリリースはnpmから削除されていました。ただし、影響を受けたバージョンを固定していたプロジェクト、または削除される前にインストールを実行したプロジェクトは、被害を受けている可能性があります。
研究者たちは、影響を受けたバージョンをインストールした組織に対し、ペイロードはパッケージの使用有無にかかわらずインストール時に実行されるため、システムが侵害された可能性があるものとして扱い、露出した認証情報をローテーションするよう強く勧告しています。また、予期しない公開アクティビティがないかCI/CDパイプラインを監査することも推奨されています。
翻訳元: https://www.infosecurity-magazine.com/news/red-hat-npm-scope-backdoored/
