ハッカーがInjective Labs SDKプロジェクトのGitHubリポジトリを侵害し、それを悪用してNode Package Manager(npm)上に悪意のあるパッケージを公開していたことが分かりました。このパッケージは暗号資産ウォレットの秘密鍵とニーモニックシードフレーズを窃取するものでした。
アプリケーションセキュリティ企業のSocket、Ox Security、StepSecurityは、@injectivelabs/sdk-tsというnpmパッケージのバージョン1.20.21を通じて、このサプライチェーン攻撃を検知しました。
Injective SDKは、分散型金融(DeFi)、トークン化資産、分散型取引所に特化したレイヤー1ブロックチェーン「Injective」上でアプリケーションを構築するためのTypeScript/JavaScript製ソフトウェア開発キット(SDK)です。
このパッケージはnpm上で週間50,000件のダウンロード数を誇り、暗号資産ウォレット、トレーディングボット、分散型取引所、DeFiアプリケーション、決済ツールを開発するエンジニアに利用されています。
研究者らによると、攻撃者はこのプロジェクトの正規コントリビューターが所有するGitHubアカウントを侵害し、6月8日に最初の不審なコミットを行い、その直後に悪意のあるバージョンのパッケージを公開したとのことです。
攻撃者はさらに、このプロジェクトに関連する他の17個のパッケージについてもバージョン1.20.21を公開し、それらすべてを侵害済みのSDKバージョンに固定していました。
正規のアカウント所有者は数分以内にこの侵害を検知し、変更を差し戻した上で、クリーンなリリースであるバージョン1.20.23を公開しました。
しかし、アップデートを通じてこの悪意のあるパッケージを取得した、あるいは実際に使用した開発者のシステムは、侵害を受けた可能性が高いと見られています。
攻撃者に先んじて、すべてのレイヤーをテストする
セキュリティチームが記録できている攻撃成功事例はわずか54%、アラートが発報されるのはそのうち14%に過ぎません。残りは環境内を検知されないまま移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMとEDRのルールをテストし、脅威の見逃しを防ぐ方法を解説しています。