Shai-Huludとして知られる大規模なサプライチェーン侵害が、2,500以上のTrust Walletアカウントから約850万米ドル相当の暗号資産が盗まれた最近の事件に関連していることが判明した。同社チームは、12月のインシデントは孤立した出来事ではなく、秋頃から始まったnpmエコシステムに対する広範な攻撃の継続であると結論づけている。
調査により明らかになったのは、攻撃者がChrome向けTrust Walletブラウザ拡張機能のソースコードと、更新を公開するために使用されるAPIキーにアクセスしていたという点だ。この侵害は、Shai-Huludキャンペーンの結果としてGitHub経由で開発者の機密情報が漏えいしたことにより可能となった。このアクセスを得た攻撃者は、機密性の高いウォレットデータを収集し、不正な取引を実行できる悪意あるバージョンの拡張機能をアップロードした。
同社はまた、攻撃に関与したドメインが悪意あるコードを配布する目的で意図的に登録されていたことも確認した。特定後、これらのリソースは速やかにレジストラへ報告され、脅威のさらなる拡散を抑えるためにオフライン化された。並行して、Trust Walletは拡張機能のリリースに関連するすべてのAPIアクセスを無効化し、侵害の影響を受けたユーザーへの補償を開始した。
Shai-Huludキャンペーン自体は、npmパッケージ侵害として知られる事例の中でも最も大規模なものの一つである。研究者によれば、攻撃の初期段階では約180のパッケージが感染した。第2段階へ移行した後、悪意あるライブラリの数は2万7,000を超えるまで急増した。これらのパッケージは開発者のキーやシークレットを吸い上げるために使用され、盗まれたデータはその後、数千のGitHubリポジトリにばらまかれた。
合計で約40万件の機密認証情報が侵害され、アクセストークンやCI/CDキーが含まれていた。その相当部分は攻撃後も数か月にわたり有効なままだったという。研究者は、Shai-Huludの背後にある組織性と技術的高度さは、npmおよびGitHubエコシステムのさらなる悪用の試み、ならびに既に蓄積された盗難データの継続的な悪用を示唆していると評価している。
Trust Walletは、これまで本件をサプライチェーン攻撃に明確に帰属させることを控えていたが、現在では攻撃者の行動が開発者コミュニティの広範な層に影響を及ぼす、より大きなキャンペーンの一部であったことを強調している。この認識は、侵害されたオープンソース基盤コンポーネントに起因する侵害がもたらす広範な影響について、長年指摘されてきた懸念を改めて浮き彫りにしている。
翻訳元: https://meterpreter.org/the-worm-in-the-code-how-the-shai-hulud-npm-attack-hijacked-trust-wallet/
