JFrog Security Researchはこのほど、「Solana FakeFix」と呼ばれる高度な脅威キャンペーンを発見しました。脅威アクターはnpmおよびPyPIエコシステムに25個の悪意あるパッケージを展開し、開発者環境への侵害を狙っています。
これらのパッケージは安定版ビルドの修正や公式SDKツールを装っており、Solana開発者を標的としています。
インストールされると、ウォレットキー、クラウド認証情報、ソース管理トークン、環境変数のシークレットなど、高度に機密性の高いデータを密かに収集します。
同時に研究者らは、CMSをテーマにしたnpmパッケージを使用してWindowsローダーを展開し、リモートの実行ファイルを動的に起動する並行キャンペーンも発見しています。
FakeFixオペレーションは、正規のSolana開発者ツールを模倣するよう巧みに命名されたパッケージを使用しています。@solana-labs/web3.jsのようなライブラリはタイポスクワッティングや偽ブランディングを駆使し、依存関係の問題を抱えた開発者を引き込みます。
攻撃者はGitHubのIssueスパムを活用してこれらの悪意あるライブラリを積極的に宣伝しました。「PassWord1337」と名乗る脅威アクターは複数のオープンソースプロジェクトにIssueを作成し、一般的なビルドエラーを解決するドロップイン代替パッケージであると虚偽の宣伝を行いました。
初期配信は基本的なnpmライフサイクル実行フックに依存していました。開発者がパッケージをインストールした瞬間、ライブラリをインポートしなくても、攻撃者が制御するJavaScriptがバックグラウンドで実行されます。
マルウェアは直ちにTelegramのコマンド&コントロール(C2)サーバーを設定し、id.json、.envファイル、AWSの認証情報など、価値のあるファイルをローカルシステム上でスキャンします。
PyPIのバリアントは初期化ファイル内にペイロードを埋め込んでおり、開発者がテストやアプリケーション起動時にパッケージをインポートするまで休眠状態を保っていました。
Solanaへの攻撃と並行して、「thermonuclear」というユーザーがアップロードした副次的なキャンペーンも、CMSをテーマにしたパッケージを使って開発者を標的にしていました。
cms-storehubやshopifyto-cmsといったライブラリは暗号通貨との関連を排除し、WindowsローダーおよびドロッパーとしてWindowsローダーおよびドロッパーとして機能するようになっています。
これらのパッケージはnpmライフサイクルフックを悪用して隠れたPowerShellスクリプトを起動しました。主な目的は、モダンなJavaScriptランタイムであるDenoをインストールし、侵害されたマシン上でリモートコードを実行することだったと、JFrogは報告しています。
難読化されたペイロードは高度なWindowsローダーとして機能しました。Windowsレジストリを通じて永続化を確立し、システム識別子を収集し、JSON Web Tokenを使用してC2サーバーと通信します。
このアーキテクチャにより、攻撃者は初期パッケージローダーを安定した状態に保ちながら、最終的なペイロードをシームレスに入れ替えることができます。
その他のバリアントはシンプルなドロッパーとして機能しており、偽装した実行ファイルを取得して一時ディレクトリから実行した後、素早くクリーンアップを試みていました。
組織は、開発者のマシン、ビルドワーカー、内部キャッシュから影響を受けたパッケージをすべて速やかに削除する必要があります。
バックドアのコマンドやレジストリへの永続化がすでに実行されている可能性があるため、開発者は影響を受けたCIランナーを信頼できるイメージから完全に再構築しなければなりません。
防御担当者は、npmライフサイクルによって作成されたスクリプト、不正なレジストリのRunキー、不審なスタートアップVBSファイルなど、永続化のアーティファクトを積極的に調査することが推奨されます。
注意: IPアドレスとドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。再ファング化はMISP、VirusTotal、SIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/fakefix-packages-steal-secrets/
