TokyoBlackHatNews

darkreading.com 4分で読了

Rustで書かれたIronWorm、NPMサプライチェーンを攻撃

Image

出典: Efkaysim / Shutterstock

オープンソースソフトウェアのエコシステムを標的とした新たなマルウェアキャンペーンが発見されました。このキャンペーンは、サプライチェーン攻撃の脅威がいかに急速に進化しているかを改めて浮き彫りにしています。

JFrogが「IronWorm」と命名したこのキャンペーンは、侵害されたnpmの公開ワークフローと悪意のあるパッケージアップデートを通じて開発者を狙います。Rustで書かれたこのマルウェアは、APIキー、クラウド認証情報、SSHキー、npmの公開トークンなど、多岐にわたる開発者の機密情報を窃取し、それを悪用してソフトウェアサプライチェーン全体にさらなる感染を広げます。

Shai-Huludキャンペーンとの類似点

JFrogがこの活動を特定したのは、Arweave/WeaveDBオープンソースエコシステム内のある開発者アカウントに関連する不審な動作を調査していた際のことでした。

IronWormのペイロードは、昨年発見されたShai-Huludワームとアーキテクチャ上の類似点を持ちます。また、資格情報の窃取、持続的感染、そしてTorを利用した秘密のC2(コマンド&コントロール)通信という独自の機能の組み合わせを備えていると、JFrogは述べています。

JFrogの分析によると、IronWormはLinuxカーネルの拡張バークレーパケットフィルター(eBPF)を悪用するルートキットを使用し、悪意のあるプロセス、ファイル、ネットワーク活動などをセキュリティシステムから隠蔽します。さらに、コードベース全体を通じて単一のハードコードされた鍵ではなく固有の暗号化キーで埋め込まれたテキストを暗号化することで、分析や検出を格段に困難にしていると、JFrogは指摘しています。

このキャンペーンを追跡しているOX Securityの研究者は、少なくとも36個のユニークなnpmパッケージが影響を受け、月間合計ダウンロード数は32,000件以上に上ると報告しています。同社によれば、脅威はより人気の高いパッケージへ波及する前に封じ込められたとのことです。

JFrogは報告書の中で、IronWormキャンペーンの運営者が悪意のあるパッケージを非推奨化し、リポジトリへの公開から1日以内にGitHubから密かに削除したと説明しています。しかしその時点で、脅威アクターはすでに9つの組織が所有するリポジトリに対して少なくとも57件の悪意のあるコード変更を行っていたとJFrogは付け加えています。攻撃者は侵害のタイムラインを隠蔽し、フォレンジック分析を困難にするため、これらの変更の日付を遡らせていたことも確認されています。

IronWorm — 前例のないマルウェアか

「既知のインフォスティーラー、eBPFルートキット、C2フレームワークのすべてとサンプルを照合しましたが、一致するものはありませんでした。バイナリにはソースリポジトリのURLも、認識できる流用コードも存在しませんでした」とJFrogは述べています。JFrogは、IronWormのペイロードはその機能と暗号化の組み合わせから、巧妙かつ入念な作戦に使用される「カスタムで精巧に作られたインプラント」だと結論付けています。

「最も近い比較対象はShai-Huludキャンペーンです」とJFrogは言います。「レビューしたマルウェアは多くの点を共有しています。開発者を侵害し、認証情報を窃取し、信頼されたソフトウェアサプライチェーンのワークフローを利用してさらに拡散するという発想は同じで、Shai-Huludと同じコミット名まで使用しています。ただし、同じコンセプトをさらに高いレベルへ引き上げたものです。」

IronWormは、開発者や開発環境がサプライチェーンへの侵入を狙う脅威アクターにとって格好の標的となっていることを示す最新事例です。背景にあるのは、開発者がソースコードリポジトリ、パッケージレジストリ、クラウド環境、CI/CDパイプライン、署名鍵などへの特権アクセスを持つことが多いという現実です。開発者を1人侵害するだけで、脅威アクターは信頼されたソフトウェアプロジェクトに悪意のあるコードを混入し、多数のダウンストリーム組織やユーザーに到達できる可能性があります。

このような攻撃は様々な形で発生しています。たとえば今年初め、ある脅威アクターが「Megalodon」と呼ばれる資格情報窃取マルウェアを使い、わずか数時間で5,500以上のGitHubリポジトリへ悪意のあるコミットをプッシュする事態が起きました。別のキャンペーンでは、TeamPCPサイバー犯罪グループが人気のクラウドセキュリティスキャンツール「Trivy」などのプロジェクトを侵害し、CI/CDワークフローからクラウド認証情報やトークン、SSHキーなどの機密情報を狙うインフォスティーラーを展開しました。また2024年には、攻撃者が盗まれたコード、武器化されたコミット、偽のPythonパッケージソースを組み合わせることでGitHubアカウントを乗っ取る手口も確認されています。

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/rust-written-ironworm-npm-supply-chain

ソース: darkreading.com
#CI/CDセキュリティ #eBPFルートキット #IronWorm #JFrog #npmパッケージ #Rust #オープンソースセキュリティ #サプライチェーン攻撃 #マルウェア #資格情報窃取

関連記事

中国のTA4922、サイバー犯罪攻撃を世界規模に拡大

攻撃者が優位に立つ4つの重大な脅威

BugcrowdがEUデータ主権ニーズに対応する新たなデータレジデンシーオプションを提供開始