出典: Charlie Blacker via Alamy Stock Photo
npmレジストリ上で正当な開発者ユーティリティに偽装した2つの悪意あるnpmパッケージには、ソフトウェアサプライチェーンに脅威を与える、全生産システムを消去し得るバックドアが含まれています。
Socket Securityの脅威研究チームの研究者たちは、バックドアを潜ませて隠れたエンドポイントを密かに登録する express-api-sync と system-health-sync-api のパッケージを発見しました。適切な認証情報でトリガーされると、バックドアはファイル削除コマンドを実行し、アプリケーションディレクトリ全体を消去し、生産システムを脅かします。最近のブログ投稿によると。
npmパッケージレジストリの正当なユーザーである「botsailer」というオンライン名の人物が、anupm019@gmail[.]comというメールアドレスを使ってパッケージを公開しました。両方のパッケージはマルウェアとしてフラグが立てられ、npmレジストリからの削除が予定されています。
これらの パッケージ は、「破壊が新たな窃盗である」というソフトウェアサプライチェーンへの新たな脅威を示していますと、Socketのセキュリティエンジニア兼研究者のKush Pandyaは投稿で書いています。
「これらのパッケージは暗号通貨や認証情報を盗むのではなく、すべてを削除します」と彼は書いています。「これは、単に金銭的な動機ではなく、破壊行為、競争、または国家レベルの妨害を目的とした攻撃者を示唆しています。」
関連:Gartner: セキュリティチームが話題を機会に変える方法
2つの悪意あるパッケージの物語
両方の パッケージ は悪意があり、表面的には同じ破壊的な結果をもたらすように見えますが、機能が異なり、一方は他方よりもはるかに洗練されています。Express-api-syncは「2つのデータベース間でデータを同期するためのシンプルなエクスプレスAPI」と主張していますが、実際には「データベース機能は一切含まれていません」とPandyaは書いています。「代わりに、単一目的のバックドアを実装しており、キルコマンドを待っています。」
最初は、アプリケーションに悪意のあるコードを追加しても何も起こらないように見えます。しかし、アプリケーションの任意のエンドポイントへの最初のHTTPリクエストでバックドアが起動し、ソースコード、設定ファイル、アップロードされたアセット、ローカルデータベースを含むすべてのファイルをアプリケーションの作業ディレクトリから削除し始めます。エンドポイントは、破壊的な結果が成功したか失敗したかを示すステータスメッセージを攻撃者に返します。
この一見無害なパッケージ設計は、「埋め込まれた後にバックドアを起動するように見せかけたマルウェアを使用したソフトウェアサプライチェーンの妥協の一例です」と、クラウドアイデンティティセキュリティソリューションプロバイダーSaviyntのチーフトラストオフィサーであるJim Routhはメールで述べています。
洗練された破壊方法
System-health-sync-apiは、Pandyaによると、洗練度が大幅に向上しています。「Express-api-syncが鈍器であるのに対し、system-health-sync-apiは内蔵された情報収集機能を持つ破壊のスイスアーミーナイフです」と彼は書いています。
このパッケージには、実際の依存関係、親しみやすいポストインストールメッセージ、複数の設定オプション、フレームワーク検出、サーバーステータスを返す動作するヘルスチェックエンドポイントなど、カジュアルな検査に通るかもしれない正当な機能がいくつか含まれています。
パッケージのメインモジュールは、ターゲットシステムに関するかなりの情報を収集する柔軟な監視システムのように見えるものを公開します。他の有害なパッケージとは異なり、オペレーティングシステムを検出し、それに応じて破壊コマンドを調整する機能を持っています。
「このクロスプラットフォームサポートにより、マルウェアはNode.jsを使用するIISを実行するWindowsサーバー、Linuxの生産サーバー、macOSの開発マシンで同様に機能します」とPandyaは書いています。「Windowsコマンドは特に壊滅的で、現在のディレクトリ自体を削除します。」
このパッケージはまた、トリプル冗長性を誇り、最大限の成功率での起動とシステム破壊を確保するために3つのエンドポイントを作成しています:偵察用のサーバーステータスを返すヘルスチェック(GET /_/system/health)、完全な設定サポートを備えたメインの破壊エンドポイントであるプライマリバックドア(POST /_/system/health)、core.jsからのバックアップ破壊エンドポイントであるセカンダリバックドア(POST /_/sys/maintenance)。
関連:F5がAgentic AIセキュリティスタートアップFletchを買収
危険なトレンドの出現
攻撃者はしばらくの間、悪意のあるnpmパッケージでソフトウェアサプライチェーンを狙ってきましたが、以前の攻撃は暗号通貨や認証情報の盗難に焦点を当てていました。完全なシステム破壊を優先するパッケージは「npmの脅威の風景に懸念を加えるものです」とPandyaは書いています。
企業が妥協を避けるための鍵は、「従業員や契約者を含むソフトウェアビルドプロセスにアクセスするすべての人のためのアイデンティティアクセス管理を改善することです」とSaviyntのRouthは述べています。これにより、組織は新しいコードの追加をよりよく追跡し、誰も許可されていない生産システムにアクセスできないようにすることができます。
ソフトウェアサプライチェーンを保護するために、Socketはまた、パッケージの動作方法に存在する手がかりに注意を払うことを組織に推奨しました。サイバーセキュリティベンダーは、将来の攻撃はおそらくターゲット組織全体のインフラストラクチャのマッピングを含むことになるでしょう。複数のサーバーにわたる同時攻撃の調整、競合他社へのインフラストラクチャインテリジェンスの販売、数ヶ月または数年にわたる悪意のあるコマンドの遅延起動が含まれるでしょう。
有害なパッケージはまた、ミドルウェアをターゲットにする意図を示しており、組織はフレームワーク固有のエコシステム攻撃や、ランタイムで他のソフトウェアパッケージを変更するパッケージ、実際には脆弱性を作り出す偽の「セキュリティ」ツールに備えるべきです。