攻撃者は「技術評価」プロジェクトを使用し、繰り返し可能な命名規則によってリポジトリのクローンとビルドワークフローに溶け込ませ、リモートインフラストラクチャからローダースクリプトを取得し、ディスク上の痕跡を最小化しました。
Microsoftは、正当なNext.jsプロジェクトと技術評価を装った悪意あるリポジトリを通じてソフトウェア開発者を狙う調整されたキャンペーンを発見したと述べています。このキャンペーンは、リポジトリのクローン、プロジェクトを開く、ビルドを実行するなど、日常的なワークフローに溶け込むように慎重に作成された詐欺を採用しており、悪意あるコードが検出されないまま実行されることを可能にしています。
Microsoftのインシデント調査中に収集されたテレメトリーは、ジョブテーマのトリックを使用した脅威のより広いクラスターとのキャンペーンの一致を示唆していました。「初期インシデント分析中、Defenderテレメトリーは観測された侵害に直接関与する限定的な悪意あるリポジトリを表面化させました」と同社はセキュリティブログ記事に記しています。「さらなる調査により、観測されたログで直接参照されていなかったが、同じ実行メカニズム、ローダーロジック、およびスタージングインフラストラクチャを示す関連リポジトリが発見されました。」
このキャンペーンは共有コードに対する開発者の信頼を悪用し、ソースコード、環境シークレット、認証情報、およびビルドやクラウドインフラストラクチャへのアクセスを含む高価値の開発者システム内での永続性を獲得します。
リモート制御の複数のトリガー
Microsoftの研究者らは、悪意あるリポジトリが冗長性を持つように設計されており、最終的に同じバックドア動作をもたらす複数の実行パスを提供していることを発見しました。
場合によっては、単にプロジェクトをVisual Studio Codeで開くだけで十分でした。攻撃者はワークスペースの自動化を悪用し、フォルダが開かれて信頼されたときに自動的に実行されるように構成されたタスクを埋め込みました。これにより、開発者が何も実行することなくコード実行が発生します。
他のバリアントはビルドプロセスまたはサーバースタートアップルーチンに依存しており、開発サーバーを起動するなどの一般的なアクションを実行するときに悪意あるコードが実行されることを確認しています。トリガーに関係なく、リポジトリはリモートインフラストラクチャから追加のJavaScriptsを取得し、メモリ内で実行し、ディスク上の痕跡を減らします。
取得されたペイロードは複数の段階で動作します。初期登録コンポーネントはホストを識別し、ブートストラップ指示を提供できます。その後、別のC2コントローラーが永続性を提供し、ペイロード配信やデータ流出などの継続的なアクションを可能にします。
偽の「コーディングテスト」を通じた感染
Microsoftは、調査が攻撃者が制御するサーバーと通信するNode.jsプロセスからの疑わしい外部接続を分析することで始まったと述べています。ネットワークアクティビティをプロセステレメトリーと関連付けることで、アナリストは採用演習を通じた元の感染にたどり着きました。
リポジトリの1つはBitbucket上でホストされており、技術評価として提示されていました。同様に、Cryptan-Platform-MVP1命名規則を使用する関連リポジトリもありました。「複数のリポジトリは繰り返し可能な命名規則とプロジェクト「ファミリー」パターンに従い、観測されたテレメトリーで直接参照されていなかったが、同じ実行およびスタージング動作を示す関連リポジトリのターゲット検索を可能にしました」とMicrosoftは記しています。
感染が疑われる場合、Microsoftは影響を受けた組織が疑わしいエンドポイントを直ちに封じ込め、開始プロセスツリーをトレースし、フリート全体の疑わしいインフラストラクチャへの繰り返されるポーリングを検索する必要があると警告しています。認証情報とセッションの盗難が続く可能性があるため、対応者はIDリスクを評価し、セッションを取り消し、調査中の曝露を制限するために高リスクのSaaS操作を制限する必要があります。
長期的な緩和策には、開発者の信頼境界を厳しくすることと実行リスクを減らすことに焦点を当てることが含まれると、Microsoftは追加しました。その他の推奨事項には、Visual Studio Codeワークスペーストラストのデフォルトを強化すること、攻撃面削減ルールを適用すること、クラウドベースの評判保護を有効にすること、および条件付きアクセスを強化することが含まれます。
