TokyoBlackHatNews

csoonline.com 5分で読了

感染したRed Hat製npmパッケージが開発者の認証情報を流出

研究者らが、Red Hat関連のnpmパッケージを標的とした新たなShai-Huludマルウェアの亜種を発見しました。このマルウェアはソフトウェア配布エコシステム全体に感染を広げながら、持続的な潜伏と認証情報の窃取を目的として活動しています。

週末にRed Hatの@redhat-cloud-services npmネームスペースからパッケージを取得した開発者は、知らぬ間に秘密情報を盗むワームをインストールさせられていました。

複数のサイバーセキュリティ機関の研究者らが、新たなサプライチェーン攻撃について警告を発しています。この攻撃では、30を超えるRed Hat Cloud Services関連のnpmパッケージが侵害され、開発環境から認証情報、認証トークン、その他の機密情報が窃取されています。

Wizの研究者らが「Miasma」として追跡しているこのキャンペーンは、npmエコシステムを標的とするソフトウェアサプライチェーン攻撃に繰り返し登場している自己増殖型マルウェアファミリー「Shai-Hulud」の最新進化形と見られています。

「調査の結果、少なくとも32件のパッケージリリースに、対応するソースリポジトリと一致しない不正な改ざんが含まれていることが判明しました」とWizの研究者らはブログ投稿で述べています。「これらのパッケージの週間ダウンロード数は、合計で平均約80,000件に達します。」

Red Hat Cloud Servicesに関連するパッケージを侵害することで、攻撃者は多くの組織がすでに信頼しているソフトウェアエコシステムを標的にしています。ただし研究者らによれば、感染が疑われるパッケージのほとんどはすでに削除されており、この点は朗報です。

信頼されたパッケージを狙うShai Hulud

報告によると、攻撃者はRed Hat Cloud Services関連のネームスペース下で公開されているnpmパッケージを侵害し、パッケージのインストール時に自動的に実行されるマルウェアを埋め込みました。

悪意あるペイロードは、感染した環境から幅広い認証情報や機密情報を窃取するように設計されていました。研究者らは、開発者のワークステーションやCI/CDシステムに一般的に保存されているnpm認証トークン、環境変数、クラウド認証情報、その他の機密情報を収集しようとする試みを確認しています。

Wizの分析により、このマルウェアはMini Shai-Huludファミリーに属することが判明しました。同ファミリーは今年を通じてnpmエコシステムへの攻撃に繰り返し登場している認証情報窃取型の脅威です。「このペイロードは、TeamPCPがオープンソース化した(Mini)Shai-Huludマルウェアから派生したものと見られます」と研究者らは述べています。「観察された改変の大部分は表面的なもので、デューン・サーガの世界観への言及がギリシャ神話のテーマ(例:『spartan』)に置き換えられているに過ぎず、根本的な機能や手法は実質的に同一です。」

このマルウェア亜種は、「Miasma: The Spreading Blight」という説明を含むリポジトリを作成する動作も確認されています。

再び焦点となるサプライチェーン

認証情報の窃取が直接的な目的である一方、研究者らはこのキャンペーンのより広範な目標がソフトウェア配布エコシステム内での持続的な潜伏と感染拡大にあったと見ています。

Wizによると、マルウェアはパッケージ公開ワークフローに関連する認証情報を積極的に探索していました。OX Securityも同様に、攻撃者が最初に侵害したパッケージを超えて追加の開発者アカウントやリポジトリへのアクセスを可能にする機密情報を、このコードが標的にしていたと指摘しています。

またWizは、攻撃者がパッケージ公開ワークフローを改ざんし、悪意あるリリースを正規品に見せかけていたことも発見しました。GitHub ActionsワークフローはGitHub OpenID Connect(OIDC)のIDトークンをリクエストし、難読化されたペイロードを実行することで、有効なSLSAプロベナンス認証付きでパッケージを公開していました。これにより、侵害されたリリースが信頼されたサプライチェーンメタデータを持つように見せかけられていました。

この手法は、Mini Shai-Huludマルウェアをオープンソース化した脅威アクターであるTeamPCPによる、TanStackへの以前の攻撃を踏襲しています。最近のMegalodonキャンペーンにも同脅威アクターのコードとの類似点が見られており、数か月にわたるサプライチェーン攻撃の連鎖が現在も続いていることを示しています。

影響を受けた組織にとって当面の優先事項は、悪意あるパッケージがインストールされていないか、また何らかの認証情報が漏洩した可能性がないかを確認することです。研究者らは、侵害された可能性のある機密情報のローテーション、npm公開トークンの失効と再発行、そしてリポジトリおよびパッケージ公開アクティビティの見直しを推奨しています。

Wizの研究者らによると、情報開示の公開時点で「大部分の」悪意あるバージョンはすでに失効されていたとのことです。また同社は、追加サポートとして侵害の痕跡(IOC)のリストと感染パッケージ名も公開しています。

翻訳元: https://www.csoonline.com/article/4179866/infected-red-hat-npm-packages-expose-developer-credentials.html

ソース: csoonline.com
#CI/CD #GitHub Actions #npmパッケージ #Red Hat #Shai-Hulud #オープンソースセキュリティ #サプライチェーン攻撃 #ソフトウェアサプライチェーン #マルウェア #認証情報窃取

関連記事

Palo Alto GlobalProtectの脆弱性、公開からわずか数日で悪用が始まる

OpenAI Codexユーザーを狙った攻撃、AIソフトウェアサプライチェーンのリスクを露呈

インシデント対応を台無しにする、テーブルトップ演習の7つの失敗パターン