最近発覚したソフトウェアサプライチェーン攻撃では、11個の悪意あるnpmパッケージを展開することでブロックチェーン開発者が標的とされ、仮想通貨ウォレットの認証情報窃取や開発インフラへの侵害が試みられました。
今回のキャンペーンは、脅威アクターがオープンソースエコシステムを悪用してWeb3プロジェクトや、クラウドネイティブ環境の金融資産を狙う手口が拡大していることを浮き彫りにしています。
Cyfirma Researchは最近、正規の開発ツールを装ったnpmパッケージを用いた組織的な攻撃活動を確認しました。
これらの悪意あるパッケージは合計で270万回以上ダウンロードされており、攻撃の潜在的な影響範囲は非常に広いものとなっています。
信頼性の高いパッケージ名を模倣したり、タイポスクワッティング(入力ミスを狙った類似名称)の手法を用いたりすることで、脅威アクターは開発者を騙し、不正なコードをワークフローに組み込ませました。
一方、Coinbase Wallet Utilsは情報窃取ツールとして機能し、ホストの偵察や機密環境データの攻撃者管理インフラへの漏出を実行しました。
第2のクラスターには、今回のキャンペーンにおけるダウンロード数の大半を占めた、広く配布されたmoralis-sdkパッケージが含まれています。このパッケージには、ダウンローダーとして機能する高度に難読化されたポストインストールスクリプトが内包されていました。
インストール後、このスクリプトは多段階の感染チェーンを起動してリモートでホストされたペイロードを取得・実行し、侵害されたシステム内に足がかりを築きます。
第3のクラスターは、Ganach、Solidity、Stelar-sdkといったパッケージを使用した長期的なタイポスクワッティングキャンペーンでした。
これらのパッケージはブロックチェーン上にホストされたコマンド&コントロールインフラを活用し、マルウェア配信サーバーを取得してプラットフォームごとに最適化されたペイロードを動的に展開します。
さらに、ethcompatというnpmユーザーがhardhat-deploy-utilsやethers-compatなど5つの追加悪意パッケージを公開しており、合計で2,200回以上ダウンロードされました。
これらのパッケージは、開発環境からデプロイ認証情報やSSHキー、ウォレットシークレットを収集することに特化して作られていました。
これらのパッケージに共通する主な侵害手口は、npmのポストインストールスクリプトの悪用です。
脅威アクターはこのライフサイクルフックを利用して、開発者が追加の操作をすることなく、パッケージのインストール直後に自動で悪意あるコードを実行させます。
今回の大規模キャンペーンの発覚は、ソフトウェアサプライチェーンの継続的な監視とパッケージ検証の重要性を改めて示すものです。
仮想通貨アプリケーションや分散型金融プラットフォームを開発する組織は、公開されているnpmパッケージをシステムに組み込む前に、その完全性を評価するための厳格なセキュリティ管理策を実装することが不可欠です。
セキュリティチームは、不審なパッケージがないか依存関係ツリーを確認し、開発環境における不正なデータ漏出を監視するよう推奨されています。Cyfirmaはこのように述べています。
開発者は、依存関係を検証済みのバージョンに固定し、既知の脆弱性や悪意あるコードを検出するソフトウェアコンポジション分析ツールを活用することで、自身を守ることができます。
また、汎用的なパッケージの説明文に頼らず、新たな依存関係のパッケージ作者やダウンロード数を精査することで、タイポスクワッティングや偽装ライブラリの誤インストールを防ぐ効果が期待できます。
オープンソースエコシステムは金銭的動機を持つ攻撃者にとって依然として格好のターゲットであることから、高度なサプライチェーン攻撃から重要インフラや機密デジタル資産を守るためには、多層防御戦略の採用が不可欠です。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化処理(例:[.])が施されています。再活性化はMISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/npm-packages-abuse-postinstall-scripts/
