- Amazon InspectorがTEAトークンファーミングスキームに関連する15万件以上のnpmパッケージを検出
- 攻撃者は自己複製型のスパムパッケージを使い、開発者としての影響力を偽装し暗号報酬を得ていた
- 研究者らはこれをサプライチェーンセキュリティの重大な事件と位置づけ、レジストリの防御強化と協力を呼びかけている
研究者たちは、何万件もの自己複製型でありながら一見無意味なnpmパッケージを発見しました。これらは詐欺師が暗号トークンを得るための大規模な詐欺行為の一部であると見られています。
サイバーセキュリティ研究者のEndor Labsは最近、4万3,000件以上のスパムパッケージを発見しました。これらはアップロードに2年、少なくとも11のアカウントが使われたと見られています。これらのパッケージはnpmエコシステム全体の約1%を占めており、従来の意味での悪意あるもの(データの窃取やバックドアの提供、システムファイルの暗号化など)ではありません。ダウンロード・実行されると自己複製するという特徴があります。
Endorは、これらがアップデートによって悪意あるものに変わる可能性もあると推測していますが、一部のパッケージにtea.yamlファイルが含まれTEAアカウントが記載されていることから、金銭目的のキャンペーンの一環である可能性も指摘しています。
疑惑の裏付け
Teaは分散型フレームワークプロトコルであり、オープンソース開発者がソフトウェアに貢献すると報酬を得られる仕組みです。つまり攻撃者は自分たちの影響スコアを偽装し、より多くのTEAトークンを得ようとした可能性があります。
現在、Amazonの研究者がこの疑惑を裏付けたようです。新しいレポートによると、同社のAmazon Inspector(AWSのセキュリティ評価サービス)が最近新たな検出ルールで更新され、tea.xyzトークンファーミングキャンペーンに関連する15万件以上のパッケージを検出したと発表しました。これは当初の報告の3倍の規模です。
Amazonは検出ルールの更新から15万件のパッケージの発見、OpenSSFとの結果検証まで、約1週間で完了しました。
「これはオープンソースレジストリ史上最大級のパッケージ氾濫事件の一つであり、サプライチェーンセキュリティにおける画期的な瞬間を示しています」とAmazonは説明しています。
「この事件は、金銭的インセンティブが前例のない規模でレジストリ汚染を引き起こすという脅威の進化と、ソフトウェアサプライチェーンを守るための業界とコミュニティの協力の重要性を示しています。」
