- Red Hat製npmパッケージに「Mini Shai-Hulud」亜種が混入
- GitHub シークレットやクラウド認証情報を標的に
- テーマこそ異なるが、手口はほぼ同一の模倣グループによる攻撃
Red Hat製の複数のnpmパッケージが最近侵害され、「Mini Shai-Hulud」ワームの亜種が仕込まれていたことが明らかになりました。GitHub Actions のシークレット、npmトークン、その他の重要情報を狙うこの攻撃により、数千もの開発者やプロジェクトが被害を受ける恐れがあります。
今回の発端は、Red Hat の社員1人の GitHub アカウントが乗っ取られたことです。攻撃者はその権限を悪用し、数十に及ぶ npm パッケージへの侵入・改ざんを行いました。
Wiz はこれまでに32件のパッケージを特定しており、それらの週間ダウンロード数は合計約8万件に上ります。一方、Socket は95件のパッケージを確認したと主張しています。両社はいずれも攻撃が現在も継続中であることを認めており、感染パッケージの数はさらに増える可能性があると指摘しています。
TeamPCP の模倣グループによる攻撃
今回侵害されたパッケージはすべて、Red Hat Cloud Services の名前空間で公開されていたものです。Red Hat は The Register の取材に対して攻撃の事実を認め、問題のあるコンテンツをすでに削除したと説明しました。「これらのパッケージはあくまで社内開発用に限定されており、悪意あるコードが console.redhat.com システムを通じてお客様向けに公開されることはありませんでした。現在も調査を継続していますが、お客様やパートナーの環境、あるいは Red Hat の本番システムへの影響は確認されていません」とのことです。
Socket によると、攻撃者は GitHub Actions のシークレット、npm トークン、クラウド認証情報、Kubernetes および Vault に関するデータ、SSH 鍵、Git 認証情報、その他の機密ファイルを狙っているといいます。「暗号化された情報窃取ロジックと GitHub を利用したフォールバック機構も実装されており、攻撃者が単なる認証情報の窃取にとどまらず、サプライチェーンをさらに拡散させることも意図していた可能性があります」と同社は述べています。
Mini Shai-Hulud 攻撃を最初に展開したのは TeamPCP というグループでした。しかし同グループがこのワームをオープンソース化したことで、類似の手口を用いる模倣グループや他の脅威アクターが台頭しています。今回のキャンペーンに見られる軽微な表面的変更は、そうした模倣グループの一つによる仕業であることを示唆しています。
Wiz によれば、原作「デューン」の世界観に関する参照はすべてギリシャ神話のテーマに置き換えられているものの、根本的な機能や手口は「実質的に同一」だといいます。今回のワームで特筆すべき相違点は、Google Cloud Platform および Microsoft Azure のアイデンティティ情報に加え、感染マシンがアクセス可能なすべてのアイデンティティ情報を収集する点です。
