セキュリティ研究者は、npmのオープンソースパッケージマネージャー上で、開発者のシステムから盗み出したBase64で暗号化されたSSHキーを保存するためにGitHubを利用していた、新たな悪意あるパッケージ2件を発見しました。
今月初めに特定されたこれらのパッケージは、その後npmから削除されました。本日公開されたReversingLabsのレポートによると、この発見は、サイバー犯罪者が悪意あるソフトウェアのサプライチェーン攻撃キャンペーンのためにオープンソースのパッケージマネージャーを悪用する傾向が継続していることを浮き彫りにしています。
より一般的には、同社は2020年から2023年末までの間に、オープンソースのパッケージマネージャーで見つかった悪意あるパッケージが1300%増加したと示唆しました。これらの悪意あるパッケージは、低脅威のプロテストウェアから、オープンソースパッケージから直接マルウェアを配布する、より高度なキャンペーンまで多岐にわたります。
1つ目のパッケージはwarbeast2000という名称で、現在も開発中ですが、最新バージョンでは悪意ある挙動を示しました。インストール時に、JavaScriptファイルを取得して実行するポストインストールスクリプトを起動しました。このスクリプトは/.sshディレクトリ内のid_rsaファイルから秘密SSHキーを読み取り、Base64エンコードしたキーを攻撃者が管理するGitHubリポジトリへアップロードしました。
2つ目のパッケージkodiak2kも同様のmodus operandi(手口)を持ち、バージョンをまたいで追加機能があり、Mimikatzハッキングツールの呼び出しや各種スクリプトの実行などが含まれていました。
類似パッケージについて詳しく読む: FortiGuard、npmパッケージにおける欺瞞的なインストールスクリプトを発見
ReversingLabsは、これらの攻撃の憂慮すべき点としてSSHキーを標的にしていることを挙げ、GitHubリポジトリへの不正アクセスを可能にし、独自コードが侵害される可能性があると警告しました。
幸いにも、このキャンペーンの影響は限定的で、warbeast2000は約400回、kodiak2kは約950回ダウンロードされたにとどまりました。
しかしReversingLabsは、悪意ある攻撃者が、悪意あるコマンド&コントロール(C2)インフラの構成要素をホスティングするために、オープンソースソフトウェアやGitHubのような開発インフラへの依存を強めていることに懸念を示しました。
「利用可能なオープンソースマルウェアが増えるにつれ、GitHubはキャンペーンを支援するために悪意ある攻撃者によってますます利用されています。多くの場合、これらのオープンソースマルウェアパッケージは機能が豊富で、非常に詳細なドキュメントが付属しており、低スキルのハッカー(“スクリプトキディ”)であっても展開できるようになっています」と勧告には記されています。
「悪意ある攻撃者がマルウェア作成の新たな手法を開発し続ける中、開発者だけでなくセキュリティ研究者も、公開リポジトリに潜む新たな脅威に警戒する必要があります。」
これらの脅威に対処するため、同社は、開発者がnpmやPyPIのようなパッケージマネージャーからソフトウェアやライブラリを取り込む前に、セキュリティ評価を実施することを推奨しました。
画像クレジット: Primakov / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/npm-packages-target-github-ssh-keys/
