Shai Huludによる悪意あるnpm JavaScriptキャンペーンの背後にいるハッカーは、マルウェアの新たな亜種をテストしている可能性が高い。
Aikidoのセキュリティ研究者は日曜日、@vietmoney/react-big-calendarというGitHubリポジトリ経由でnpmにアップロードされた、見たところ新しいShai Hulud亜種を発見した。Shai Huludとは、npmのJavaScriptリポジトリに対して自己増殖型の攻撃を行うキャンペーンの呼称で、ハッカーはSFシリーズ『デューン』に登場する、砂漠の惑星アラキスでスパイス生産に不可欠な巨大なワームから着想を得たとみられる。攻撃者は、盗んだデータを受け取るGitHubリポジトリを、作中で巨大ワームを指す用語にちなみ「Shai Hulud」と名付けた。
最新の亜種について、Aikidoの研究者チャーリー・エリクセンは述べた。「大規模な拡散や感染は見られません。これは、攻撃者がペイロードをテストしていたところを私たちが捉えた可能性を示唆しています」
亜種での変更点には、初期ファイルと主要ペイロードの改変、そしてトークンやクラウド認証情報のシークレットスキャナーであるTruffleHogに対するエラーハンドリングの改善が含まれる。
エリクセンは、12月10日以降、このマルウェア株に関連するパッケージや新たなリポジトリは確認されていないとも付け加えた。
9月に初めて特定されたShai Huludの感染は、開発者が人気のJavaScriptパッケージの悪意あるバージョンをダウンロードしたことから始まった。そこにはデータを収集して攻撃者のGitHubリポジトリへ送信するスクリプトが仕込まれていた。このスクリプトにより、攻撃者はアクセストークンを収集し、パッケージを悪意あるコードで自動更新できたため、自己増殖が可能になった(参照: Shai HuludがNPMリポジトリに潜り込む)。
セキュリティ企業Upwindは11月、Shai Hulud 2.0と呼ばれる別の亜種を発見した。開発者が感染したnpmパッケージをダウンロードすると、このワームはインストール前段階でnpmにフックし、攻撃者が感染を自動化できるようにした。このキャンペーンは30分ごとに1,000件の新たな悪意あるリポジトリを感染させ、25,000以上のnpmリポジトリに影響を与えた(参照: 侵害まとめ: Shai-Hulud 2.0が大規模なnpmサプライチェーン侵害を引き起こす)。
Microsoftはこのキャンペーンを「最も重大なクラウドネイティブ・エコシステム侵害の一つ」と説明し、セキュリティ企業Wizはこの攻撃を「最も深刻なJavaScriptサプライチェーン攻撃」の一つだと呼んだ。
翻訳元: https://www.databreachtoday.com/researchers-spot-new-shai-hulud-variant-a-30409
