セキュリティ専門家は、npmエコシステム内を徘徊する大規模な新たな機密情報窃取ワームについて警告しており、数百万人の下流ユーザーに影響を及ぼす可能性がある。
Shai-Huludは9月に初めて出現した。当時、脅威アクターがソーシャルエンジニアリングによってnpm開発者のアカウントを乗っ取り、トロイの木馬化したパッケージをインストールした。これらはAWSキーやGitHubトークンなどの機密データをスキャンし、攻撃者が管理するリポジトリへ流出させた。
拡散のため、このワーム型マルウェアは標的となった開発者が保守する他のパッケージも探し出し、新たな悪意あるバージョンを作成した。Mondooによると、9月末までに180のパッケージが侵害され、世界的なCI/CDワークフローが混乱した。
いわゆるShai-Huludの「第二の到来」は、ZapierやPostHogといった人気プロジェクトを標的にしている。Wiz Securityによれば、昨日の時点で既に1億回超のダウンロードを持つ700以上のパッケージに感染していた。
GitHubは攻撃者が作成したリポジトリを削除しており、悪意あるパッケージもnpmから削除されつつあるものの、Wizはこのワームが急速に拡大しており、30分ごとに1000件の新しいリポジトリが発見されていると述べた。
「このキャンペーンの規模、速度、そして機密情報を盗む能力を踏まえると、チームは依存関係を緊急に見直し、是正手順を展開すべきだ」と同社は警告した。
Shai-Huludについてさらに読む: Shai-Huludワームがnpmを徘徊し、数百の機密情報を盗む
Shai-Hulud 2の背後にいる脅威アクターが、最初の反復を仕掛けた者と同一かどうかは不明だが、新バージョンにはいくつかの新機能がある。特に、前回の20に対し、最大100のnpmパッケージに感染できる。
Mondooは、このワームがデータ侵害、「ランサムウェアの足場」、そしてnpmエコシステム全体への信頼低下につながり得ると警告した。
「このワームは、開発者の機密認証情報を自律的に盗み、npmエコシステム内の数百のオープンソースソフトウェアパッケージにわたって自己増殖できるため、ソフトウェア業界とエンドユーザーに重大なリスクをもたらす」と同社は付け加えた。
「npmパッケージは世界中で数百万のアプリケーションやシステムに統合されているため、単一の侵害であっても、数百万人の下流ユーザーや組織に影響を及ぼす可能性があることを意味する。」
Sonatypeの主任セキュリティ研究者であるGarrett Calpouzosは、新バージョンで使用されているマルウェアは、検知回避を狙ったものと思われる二つのファイルに分割された、異例の構造をしていると警告した。
「最初のファイルが非標準の『bun』 JavaScriptランタイムを確認してインストールし、その後bunを使って、盗んだデータをランダムな名前のGitHubリポジトリ内の .json ファイルに公開する、実際のかなり巨大な悪意あるソースファイルを実行する」と彼は説明した。
「特に興味深いのは、ファイルのサイズと構造がAI解析ツールを混乱させているように見える点だ。通常のコンテキストウィンドウを超えるほど大きく、モデルが読んでいる内容をすべて追い切れない。ChatGPTとGeminiの両方に解析させたが、毎回違う答えが返ってくる。」
是正方法
セキュリティ専門家は、開発者と組織に対し緊急の対応を促している。Aikidoのマルウェア研究者Charlie Eriksenは、次の対応を提案した。
- Zapier/ENS関連のnpm依存関係とバージョンをすべて監査する
- インストール中に使用されたGitHub、npm、クラウド およびCI/CDのシークレットをすべてローテーションする
- 説明文が 「Sha1-Hulud: The Second Coming」 となっている不審なリポジトリがGitHubにないか確認する
- 可能であれば、CIでnpmのpostinstallスクリプトを無効化する
- パッケージのバージョンを固定し、GitHubおよびnpmアカウントで多要素認証(MFA)を強制する
- Safe-Chainのようなツールを使って、npm上の悪意あるパッケージをブロックする
翻訳元: https://www.infosecurity-magazine.com/news/new-shaihulud-worm-trouble-npm/
