NPMエコシステム史上最大のサプライチェーン侵害は、全クラウド環境のおよそ10%に影響を与えましたが、攻撃者はほとんど利益を得られませんでした。
この攻撃は、メンテナーのJosh Junon(qix)がパスワードリセットのフィッシングに引っかかり、今週初めに発生しました。これにより、chalkやdegub-jsなど、週に26億回以上ダウンロードされる複数の非常に人気のあるNPMパッケージが侵害されました。
Junonのアカウントへのアクセスを得た攻撃者は、暗号通貨の取引を脅威アクターにリダイレクトする悪意のあるモジュールを含む不正なアップデートを公開しました。
オープンソースソフトウェアコミュニティはすぐにこの攻撃を発見し、すべての悪意あるパッケージは2時間以内に削除されました。
クラウドセキュリティ企業Wizの研究者によると、ほぼすべてのJavaScript/Nodeプロジェクトの基盤となる、侵害されたパッケージの1つ以上が、クラウド環境の99%で使用されていました。
ダウンロード可能だった2時間の間に、侵害されたパッケージはクラウド環境のおよそ10%によって取得されました。
「悪意のあるバージョンがnpmで利用可能だった短い2時間の間に、悪意のあるコードは10のうち1つのクラウド環境に到達しました」とWizは説明しています。
「このことは、このようなサプライチェーン攻撃で悪意のあるコードがどれほど速く拡散するかを示しています。」
この10%という数字は、Wizが顧客のクラウド環境や公開情報から得た可視性に基づいています。必ずしも代表的な割合ではないかもしれませんが、攻撃の急速な拡大と到達範囲を示しています。
攻撃者の利益は1,000ドル未満
この攻撃は大きな混乱を引き起こし、企業に多くの時間を要するクリーンアップや再構築、監査を必要としましたが、セキュリティ上の影響はごくわずかで、脅威アクターの利益も同様に微々たるものでした。
Security Allianceによる分析によれば、注入されたコードはブラウザ環境を標的とし、EthereumやSolanaの署名リクエストをフックし、暗号通貨ウォレットアドレスを攻撃者が管理するものにすり替えていました(クリプトジャッキング)。
このペイロードの種類こそが、侵害されたデバイスを取得した企業がより深刻なセキュリティインシデントを免れた理由です。脅威アクターはアクセスを利用してリバースシェルを仕込んだり、ネットワーク内で横移動したり、破壊的なマルウェアを仕込むことも可能でした。
攻撃の規模が非常に大きく、多数の被害者が出たにもかかわらず、攻撃者が奪取できたのは5セント相当のETHと、ほとんど無名のミームコイン20ドル分だけでした。
Socketの研究者は昨日、同じフィッシングキャンペーンがDuckDBのメンテナーアカウントにも影響を与え、同じ暗号通貨窃盗コードでプロジェクトのパッケージが侵害されたと警告するレポートを公開しました。
彼らによると、攻撃者のウォレットに追跡された利益は、Ethereumで約429ドル、Solanaで46ドル、BTC、Tron、BCH、LTCで合計600ドル程度の少額でした。
また、攻撃者のウォレットアドレスのうち、ある程度の金額が入っているものはフラグが立てられており、得たわずかな資金を換金したり利用したりする能力が制限されています。
