広く利用されているnpmパッケージ「eslint-config-prettier」に関する重大なセキュリティインシデントが明らかになりました。
35億回以上ダウンロードされているこのパッケージは、メンテナーがフィッシングキャンペーンの被害に遭ったことで、7月18日に侵害されました。ReversingLabsの自動検出システムおよびSocketのリサーチチームが、同日にこの攻撃を報告しました。
悪意のあるバージョンのパッケージは、同じ開発者が管理している他のパッケージと共に、盗まれた認証情報を使って公開されました。改ざんされたファイルには、Windowsシステム上でScavengerリモートアクセス型トロイの木馬(RAT)を設置するためのスクリプトが含まれていました。
侵害されたバージョンは2時間未満しか公開されていませんでしたが、パッケージは週に3,600万回ダウンロードされているため、潜在的な影響は大きいものでした。
攻撃の拡大経路
ReversingLabsが先週公開したアドバイザリによると、フィッシングキャンペーンは公式サポートアドレスを装ったメールを使い、npmのメンテナーを標的にしていました。
被害者は、トークン化されたURLを使った偽のnpmサイトに誘導されました。これは意図的な標的型攻撃の兆候です。
メンテナーの認証情報が盗まれると、攻撃者はeslint-plugin-prettierやsynckitなど、関連する複数のパッケージの感染バージョンをリリースしました。
オープンソースソフトウェアのサプライチェーンセキュリティについてさらに読む:新たなオープンソースサプライチェーン攻撃が銀行業界を標的に
多くのプロジェクトがeslint-config-prettierをdevDependencyではなく直接の依存関係として宣言していたため、問題が複雑化しました。ReversingLabsは、このようなケースが14,000件以上あることを特定し、下流への侵害の道を作っていました。
自動更新の役割
GitHubのDependabotなどの自動化ツールが、被害を拡大させました。これらのシステムは、人間のレビューなしに依存関係を更新するプルリクエストを自動で作成・マージできます。
欧州の電動自転車企業Dottが管理するものを含む複数のリポジトリが、自動的に悪意のあるバージョンを取り込んでいたことが判明しました。
GitHubホスト型ランナーは持続性を制限しますが、セルフホスト型ランナーを使用している組織はより大きなリスクに直面した可能性があります。
ReversingLabsは、攻撃が行われた期間中に侵害されたバージョンをインストールしたプロジェクトを46件検出し、その中にはMicrosoftが所有するリポジトリも含まれていました。
「たとえ短い露出期間でも、大きな影響を及ぼす可能性がある」と研究者たちは指摘しています。
開発者への教訓
このインシデントは、現代のソフトウェア開発における依存関係管理の課題を浮き彫りにしています。自動更新は古いコードによるリスクを減らしますが、悪意のあるバージョンが紛れ込むと脅威をもたらすことがあります。
ReversingLabsは以下のような対策を推奨しています:
-
悪意のあるバージョンの検出時間を確保するため、重要でない更新は遅らせる
-
依存関係とdevDependenciesを分離する
-
本番環境で不要なインストールを防ぐようビルドワークフローを構成する
-
手動レビューなしで自動プルリクエストをマージしない
サプライチェーン攻撃が増加する中、研究者たちは依存関係の衛生管理と慎重な自動化が重要な防御策であると強調しています。
翻訳元: https://www.infosecurity-magazine.com/news/popular-npm-package-compromised-in/