ハッカーがToptalのGitHubアカウントを侵害、悪意のあるnpmパッケージを公開

ハッカーがToptalのGitHub組織アカウントを侵害し、そのアクセス権を利用してNode Package Manager（NPM）インデックスに10個の悪意のあるパッケージを公開しました。

これらのパッケージには、GitHub認証トークンを収集し、被害者のシステムを消去するデータ窃取コードが含まれていました。

Toptalは、企業とソフトウェア開発者、デザイナー、ファイナンスの専門家をつなぐフリーランスタレントマーケットプレイスです。同社はまた、内部開発者向けツールやデザインシステム、特にPicassoを管理しており、これらをGitHubやNPMを通じて提供しています。

攻撃者は7月20日にToptalのGitHub組織を乗っ取り、ほぼ直ちに73のリポジトリすべてを公開し、非公開プロジェクトやソースコードを露出させました。

その後数日間で、攻撃者はGitHub上のPicassoのソースコードを改ざんしてマルウェアを含め、Toptal名義でNPMに10個の悪意のあるパッケージを公開し、正規のアップデートのように見せかけました。

悪意のあるパッケージおよび改ざんされたバージョンは以下の通りです：

• @toptal/picasso-tailwind (v3.1.0)
• @toptal/picasso-charts (v59.1.4)
• @toptal/picasso-shared (v15.1.0)
• @toptal/picasso-provider (v5.1.1)
• @toptal/picasso-select (v4.2.2)
• @toptal/picasso-quote (v2.1.7)
• @toptal/picasso-forms (v73.3.2)
• @xene/core (v0.4.1)
• @toptal/picasso-utils (v3.2.0)
• @toptal/picasso-typography (v4.1.4)

これらの悪意のあるパッケージは、発見されるまでに約5,000回ダウンロードされており、開発者がマルウェアに感染した可能性があります。

ハッカーは「package.json」ファイルに悪意のあるコードを注入し、2つの機能（データ窃取用「preinstall」スクリプトと、ホスト消去用「postinstall」スクリプト）を追加しました。

最初のスクリプトは被害者のCLI認証トークンを抽出し、攻撃者が管理するWebhook URLに送信することで、ターゲットのGitHubアカウントへの不正アクセスを可能にします。

データを流出させた後、2つ目のスクリプトはLinuxシステム上で「sudo rm -rf –no-preserve-root /」を実行してファイルシステム全体を削除しようとし、Windowsではファイルを再帰的かつサイレントに削除します。

コードセキュリティプラットフォームSocketによると、Toptalは7月23日に悪意のあるパッケージを非推奨とし、安全なバージョンに戻しましたが、悪意のあるリリースをダウンロードしたユーザーにリスクを警告する公式声明は出していません。

最初の侵害方法は不明のままですが、Socketは内部関係者による脅威からToptal開発者を狙ったフィッシング攻撃まで、複数の可能性を挙げています。

BleepingComputerはToptalに声明を求めて連絡しましたが、まだ返答はありません。

もし悪意のあるパッケージをインストールしてしまった場合は、できるだけ早く以前の安定バージョンに戻すことを推奨します。