セキュリティ研究者や当局は、攻撃者がほぼ500のnpm(node.jsパッケージマネージャー)ソフトウェアパッケージに注入した自己増殖型ワームに関連するサプライチェーン攻撃の新たな波について警告しており、GitHub上の26,000以上のオープンソースリポジトリが危険にさらされています。
このトロイの木馬化されたnpmパッケージは、日曜の深夜に最初に発見されたもので、Aikido Securityのセキュリティ研究者Charlie Eriksenによると、金曜日から始まる3日間の間にアップロードされ、9月にnpmパッケージを感染させたShai-Huludマルウェアの新バージョンに言及しています。
このキャンペーンは現在も進行中で、さらなるリポジトリが侵害されている一方、削除されたものもあります。研究者らは、マルウェアによって盗まれた認証情報から発生した二次的な攻撃はまだ観測していません。
「しかし、これらの認証情報がGitHub上で公開されていたため、すでに複数の脅威アクターがアクセスしているか、近いうちにアクセスする可能性が非常に高いです。たとえ大規模な被害がまだ現れていなくても、二次的な悪用の確率が大幅に高まります」とEriksen氏はCyberScoopに語りました。
このマルウェアは急速に拡散しており、盗まれたnpmトークンを使って、以前のバージョンよりもはるかに高い自動化と規模で追加のパッケージを感染させており、ほぼ自律的な状態に近づいているとEriksen氏は付け加えました。
Wizによると、Zapier、ENS Domains、PostHog、Postmanなどの主要パッケージもトロイの木馬化され、攻撃者が被害者データを盗んでGitHubリポジトリに投入できるようになっていました。これらのパッケージの一部は、クラウドやコード環境の約27%に存在していると、同セキュリティ企業は月曜日のブログ投稿で述べています。
「これらのトロイの木馬化されたパッケージがnpmから削除される前にダウンロードされた複数の環境を確認しており、実際の現場での被害が発生していることを示唆しています」とWizの脅威研究者Merav Bar氏はCyberScoopに語りました。「過去の攻撃でも見られたように、初期攻撃者と機会的攻撃者の両方による被害の長期化が予想されます。」
Bar氏は、Shai-Huludのこれまでと現在の攻撃の波は、より深いサプライチェーンの侵害に利用できる開発者の秘密情報の窃取に焦点を当てているようだと付け加えました。
「Shai-Huludの両方の波は、攻撃者が信頼された配布経路を武器化し、悪意のあるバージョンを大規模に配布し、誰も異常に気づく前に何千人もの下流開発者に到達できることを示しています」と彼女は述べました。
最新のShai-Huludキャンペーンのタイミングも機会的であり、GitHubが2020年に買収したnpmが、より厳格なセキュリティ対策を広く導入する一環として、クラシックトークンの失効を計画している数週間前にリポジトリを攻撃しました。「これらのセキュリティ実装が導入されていれば、このキャンペーンは大幅に制限されていたでしょう」とEriksen氏は述べました。
Shai-Huludの最新バリアントは、preinstallフェーズで悪意のあるファイルを作成し、盗まれたデータを含むランダムな名前の公開リポジトリも作成します。攻撃者はShai-Huludに言及しており、活動も以前のワームに似ていますが、Wizの研究者によると、いくつかの違いがあり、完全な帰属はまだ確認されていません。
Sola SecurityのCOO兼共同創設者であるRon Peled氏は、npmを摩擦の少ないパッケージエコシステムと表現し、それが攻撃者にとって魅力的な標的となっていると述べました。さらに、開発者のエンドポイントやCI/CD環境は、エンドポイント検知・対応やアンチマルウェアツールにとって盲点となりがちだとも指摘しています。
「開発者はしばしばGitHubトークン、npmトークン、クラウドの秘密情報を環境変数に保存しています」とPeled氏は述べました。「ビルドシステムはほぼ常に強力なトークンにアクセスでき、マルウェアはそのうちの1つだけで拡散できてしまいます。」
攻撃者はサプライチェーン攻撃のためにオープンソースソフトウェアを頻繁に標的にしており、今回のキャンペーンはnpmを特に狙った新たな攻撃となっています。攻撃は成熟度と複雑さを増しており、過去の成功を基盤にしていると、Taniumのセキュリティおよびプロダクトデザインリサーチ担当シニアディレクターのMelissa Bischoping氏は述べています。
「昨年は、XZ Utilsの侵害に皆が注目し、単一のオープンソースプロジェクトのサプライチェーン侵害が世界全体を乗っ取る可能性があることが示されました。9月初旬には単純なクリプトジャッキングがほとんど問題にならない程度でしたが、その直後にShai-Huludワームが登場し、認証情報を盗み、さらにセキュリティを侵害しました」と彼女は付け加えました。
「明らかになってきたパターンは、攻撃者がオープンソース開発者を高価値ターゲットと認識し、わずか1年で大きな成功を収めているということです」とBischoping氏は述べました。「開発者は、たとえ趣味レベルであっても、今後も続く攻撃やエスカレーションに備える必要があります。」
翻訳元: https://cyberscoop.com/supply-chain-attack-shai-hulud-npm/
