出典:TCD/Prod.DB via Alamy Stock Photo
オープンソースリポジトリを標的とする自己増殖型ワーム「シャイ=フルード」が、新たにより危険な亜種となって再び現れました。
シャイ=フルードは、自己増殖型マルウェアとして9月に初めて登場し、NPMパッケージを介して拡散しました。このバージョンでは、盗まれた開発者アカウント(特にNPM)を利用し、それらのアカウントが管理するソフトウェアコンポーネントの改ざん版を再公開し、毒されたパッケージをダウンロードした下流ユーザーを感染させていました。マルウェアは認証情報やその他の機密情報を盗み、これらの認証情報にオープンソースプロジェクトへのアクセス権を持つNPMアカウントが含まれている場合、サイクルが繰り返される可能性がありました。
9月のキャンペーンは数百のリポジトリに影響を及ぼし、自己増殖型マルウェアファミリーの増加傾向の一例となりました。同時に、攻撃者は著名な開発者QixのNPMアカウントを侵害し、18のオープンソースソフトウェアパッケージの改ざん版を公開しました。これらは週あたり20億回以上ダウンロードされていました。幸いにも、後者のキャンペーンは比較的早く封じ込められました。
しかし、シャイ=フルードのキャンペーン自体は勢いを増していました。マルウェアの新たなバージョンは、数百人のユーザーにわたる25,000以上のリポジトリに影響を与えており、ワームは以前よりもさらに危険性が増しているようです。毒されたパッケージは先週末から出現し始めており、GitHubが引き続き対応して悪意のあるコンポーネントを削除しているものの、キャンペーンは現在も進行中とみなされています。
『懲罰的サボタージュ』
Wizは本日、新たなワームに関する調査結果を発表し、ENS Domains、PostHog、Postman、Zapierなどの開発者による人気パッケージが侵害されたと述べています。クラウドセキュリティ企業の研究者によると、「このキャンペーンはpreinstallフェーズで悪意のあるコードを実行する新しい亜種を導入しており、ビルドや実行環境での潜在的な被害が大幅に増加しています」とのことです。
同様に、Wizはこの攻撃の波が、侵害されたメンテナーアカウントを使って認証情報を盗み、インストール時にデータを外部送信する毒入りマルウェアパッケージを公開していると述べています。また、NPMに加え、GitHub、Azure、AWS、GCPなど幅広い認証情報が標的となっています。
Koi Securityがブログ記事で指摘したように、このサプライチェーン攻撃が特に異なる点は、新たな破壊的要素が加わったことです。「Sha1-hulud」として追跡されているこの新亜種が、トークンや認証情報の窃取や外部送信チャネルの確保に失敗した場合、「被害者のホームディレクトリ全体を破壊しようとします」。
「具体的には、マルウェアは現在のユーザーが所有するホームフォルダ配下の書き込み可能なファイルをすべて削除します」とKoiのブログ記事は述べています。「これは第一波からの大きなエスカレーションであり、攻撃者の戦術が単なるデータ窃取から懲罰的サボタージュへと移行したことを示しています。」
Wizの脅威リサーチャー、Merav Bar氏はDark Readingに対し、開発者の認証情報が依然として明確な標的である一方で、新亜種の破壊的なフォールバックや新たな永続化メカニズムなどのプロセスから、「攻撃者は単なる認証情報の窃取だけでなく、より広範なアクセスと長期的な足場を狙っていることが示唆される」と語っています。
組織に対してKoiは、すべてのエンドポイントで侵害の兆候(IOC)をスキャンし、侵害されたソフトウェアバージョンを即座に削除し、キャンペーンの全容が把握できるまでアップデートを一時停止すること、完全な認証情報のローテーションを実施すること、リポジトリの永続化メカニズムを監査することを推奨しています。
OpenSSFのチーフセキュリティアーキテクトであるChristopher Robinson氏はDark Readingに対し、開発者はすべてのアカウントで多要素認証(MFA)を導入し、ソフトウェアのアーティファクトに署名してコードが信頼できるソースから来ていることを検証することを推奨しています。
シャイ=フルード:より広い視点
このシャイ=フルードの新たな亜種は、自己増殖型マルウェアが今後も存続し続けることを示唆しています。
Koi Securityの共同創業者兼CTOであるIdan Dardikman氏は、このワームがもたらす課題に対処するには3つの変化が必要だと述べています。第一に、組織は開発者のエンドポイントを監視する必要がありますが、実際に行っているところはほとんどありません。第二に、開発者はNPMライフサイクルスクリプトを制御できるべきです(「NPMはインストール時に任意のコード実行を許可している」ため)。第三に、Dardikman氏はNPMがより良いトークン管理を持つべきだと説明しています。
「ディスク上の平文で長期間有効なトークンが保存されていると、こうした攻撃の被害ははるかに深刻になります。短命でスコープが限定されたトークンと、より安全な認証情報の保存が必要です」とDardikman氏は述べています。「NPMはすでにこの方向に向けて対策を始めています。」
オープンソースセキュリティというより大きな課題について、WizのBar氏は、シャイ=フルードのようなサプライチェーン攻撃が、もはや単発のインシデントではなくエコシステム全体の脅威になりつつあると説明しています。
「この問題に対処するには、サプライチェーンを重要なインフラとして捉え、あらゆる層にガードレールを設けるという意識改革が必要です」とBar氏は語ります。「これは、メンテナーや公開プロセスの強固なセキュリティ、信頼できない依存関係を前提としたCI/CD環境、異常なパッケージ挙動を迅速に検知できるエコシステム全体の検出体制を意味します。攻撃がより速く自動化される中、防御側は侵害を迅速に封じ込め、被害範囲をデフォルトで最小限に抑えるよう設計されたシステムで対抗する必要があります。事後対応ではなく、先手を打つことが求められます。」
翻訳元: https://www.darkreading.com/application-security/infamous-shai-hulud-worm-resurfaces-from-depths
