研究者らが、AIアシスタントのトークンなど機密情報の窃取に使われる未知のマルウェアサンプルを2種類発見しました。
リモートサポート製品「SimpleHelp」に存在する重大な脆弱性が、情報窃取型を含む未知のマルウェアを展開する攻撃に悪用されています。
このマルウェアは、クラウドプラットフォーム、パッケージレジストリ、AI開発アシスタントで使用される高度に機密性の高い認証情報を窃取する目的で使用されています。BlackPointが月曜日に公開したレポートで明らかにされました。
この脆弱性はCVE-202t6-48558として追跡されており、OpenID Connect認証プロトコルにおける認証バイパスの欠陥です。OIDCが設定されている環境では、攻撃者が偽造トークンを使用することで、完全に認証された「テクニシャン」セッションへのアクセスを取得できると研究者らは述べています。
攻撃者が「テクニシャン」として認証されると、特権的な管理操作を実行できるようになります。これはHorizon3.aiが今月初めに公開したレポートでも指摘されています。
BlackPointが月曜日に公開したレポートでは、この脆弱性が悪用された実際のインシデントの詳細が明らかにされています。攻撃者は高度に難読化されたNode.jsローダー「TaskWeaver」と、Windows・macOS・Linuxシステムで動作する第2ステージのマルウェア「Djinn Stealer」を展開しました。
攻撃者はTaskWeaverを使って侵害したシステムのフィンガープリントを収集し、自身が管理するインフラとの暗号化通信を確立しました。また、Djinn Stealerを用いてクラウドプラットフォーム、パッケージレジストリ、AI開発アシスタントなどの多様な認証情報を窃取しました。
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は月曜日、この脆弱性を「既知の悪用された脆弱性」カタログに追加しました。
