セキュリティ専門家は、npmパッケージを標的とした新たに発見されたサプライチェーン攻撃が依然として活動中であり、すでにクラウド環境の10%に影響を与えている可能性があると警告しています。
月曜日、脅威アクターがソーシャルエンジニアリングを通じて著名な開発者「qix」のnpmアカウントを乗っ取り、人気パッケージのトロイの木馬化バージョンを公開しました。
これらの暗号資産を盗むマルウェアを含む悪意のあるバージョンは、わずか2時間以内に削除されましたが、セキュリティベンダーのWizは、それらがクラウド環境の10分の1に到達したと主張しています。
「これらのバージョンがダウンロード可能だった短い2時間の間に、もしフロントエンドのビルドに組み込まれ、Webアセットとして配信された場合、影響を受けたウェブサイトを読み込むすべてのブラウザは、ネットワークおよびウォレットAPIをフックする悪意のあるペイロードを実行し、署名前に暗号通貨の受取人や承認を密かに書き換えて、取引が攻撃者の管理するウォレットに転送されるようにします」と同社は述べています。
「悪意のあるバージョンがリリースされた後、当社のデータによると、悪意のあるコード自体は少なくともクラウド環境の10%で、バンドルやアセット内に存在していた可能性があります。」
オープンソースの脅威についてさらに読む:悪意のあるオープンソースパッケージが年間188%増加
Wizはまた、JFrogの調査を引用し、このキャンペーンがqixだけでなく他のnpmアカウントにも及んでいることを示しました。
「感染したパッケージの最初のバッチの後、duckdbを含むいくつかのアカウントがさらに侵害されていることを確認しました。これはキャンペーンが依然として継続中であることを示しています」とサプライチェーンセキュリティベンダーは記しています。
悪意のあるパッケージには、@duckdb/node-api@1.3.3、@duckdb/duckdb-wasm@1.29.2、@duckdb/node-bindings@1.3.3、duckdb@1.3.3が含まれていました。良いニュースとして、これらもすぐに削除され、「ほとんどダウンロードされなかった」とJFrogは述べています。
油断は禁物
世界最大のソフトウェアレジストリであるNPMのユーザーには、引き続き警戒を怠らないよう呼びかけられました。
「リストは進化しているものと考え、レジストリ/ミラーと照合し、ブロックリストを常に最新に保ってください」とWizは述べています。
クラウドセキュリティベンダーは、セキュリティチーム向けに以下のアドバイスを提供しています:
- プライベートレジストリ/プロキシで悪意のあるパッケージバージョンをブロックリストに追加し、既知の安全なバージョンにピン留めまたは上書きする
- クリーンなキャッシュ(CI+ローカル)から再ビルドし、ローカル開発マシンやCI/CDビルドサーバー上のすべてのキャッシュをクリアして、「汚染された」キャッシュから侵害された依存関係が再導入されるのを防ぐ
- 会社のコンテンツデリバリーネットワーク(CDN)上のすべての影響を受けたJavaScriptアセットに対して無効化コマンドを発行し、サーバーがキャッシュされた悪意のあるファイルを破棄するよう強制する
- 必要に応じてクライアント側のチェックサム/サブリソースインテグリティ(SRI)を追加してUIをホットフィックスする。一時的にチップ/寄付モジュールを無効化し、ウォレットフローの再認証を強制する
- バンドル/アセットスキャンを実行し、9月8日13:16~15:15(UTC)の間に署名フローのテレメトリを確認して異常を調査し、悪意のあるパッケージを特定する
- その時間帯に予期しない受取人/支出者アドレスへの承認/送金を自動でフラグ付けし、影響を受けたユーザーに通知する
- キャンペーンが続く間はnpmのブロックリストを毎日更新し、DuckDBや新たに報告されたパッケージも含める
翻訳元: https://www.infosecurity-magazine.com/news/malicious-npm-code-10-cloud/