警告：ハッカーが一部のnpmライブラリに認証情報を盗むコードを挿入

数十のnpmライブラリ（週に200万回以上ダウンロードされるカラーライブラリを含む）が、新たな供給チェーン攻撃の波で自己増殖型の認証情報窃取コードに置き換えられました。これにより、オープンソースリポジトリの貢献者がログイン認証情報をハッキングからより良く保護する必要性が改めて強調されています。

オープンソースコードを利用している開発者は、今すぐ自分のGitHubアカウントを確認し、このマルウェアをダウンロードしていないかチェックするよう推奨されています。

「ただの悪い日ではない」

これは「npmエコシステムにおける脅威の大きなエスカレーションを示している」とStep Securityの研究者は述べています。

このマルウェアはメンテナーパッケージ間で自己増殖し、TruffleHogを利用してAWS/GCP/Azureの認証情報を収集し、GitHub Actionsのバックドアを通じて永続化を確立すると彼らは説明しています。

「これはnpmでよくある悪い日というだけではありません」とTomislav Pericin氏（ReversingLabsのチーフソフトウェアアーキテクト）は付け加えます。「これはオープンソースにおける自己増殖型マルウェアの新たなフロンティアです。」

SocketおよびOx Securityの研究者によれば、セキュリティベンダーCrowdstrikeがnpmに公開した複数のパッケージも侵害されたものに含まれていました。

現在、影響を受けたライブラリはnpmレジストリから削除されています。しかしリスクとして、アプリ開発者が既に自分のソフトウェアにこのマルウェアを組み込んでしまっている可能性があり、その場合は数百、数千のユーザーに拡散します。

40以上のパッケージが影響

このハッキングを発見し警告した研究者の一人はフランスの開発者François Bestであり、StepSecurity、Socket、ReversingLabs、Ox Securityのブログでも説明されています。これらのブログには、侵害されたパッケージの全リストや侵害の指標が掲載されています。

イスラエルのOx Securityの研究者によると、マルウェアが発見・遮断されるまでの時間はわずか数時間だったとのことです。しかしその間に、気付かずにダウンロードした開発者がいた可能性があります。

研究者によれば、攻撃者はnpmの40以上のパッケージをトロイの木馬化しました。主なものは以下の通りです：

• ctrl/tinycolor バージョン4.1.1および4.1.2。これはアプリ内の色をカスタマイズするための軽量なJavaScriptライブラリおよびAPIで、週に200万回以上ダウンロードされています；
• ngx-bootstrap（週30万回ダウンロード）；
• ng2-file-upload（週10万回ダウンロード）。

開発者が過去数日間に影響を受けたライブラリをダウンロードしていた場合は、それらのバージョンを削除し、クリーンなキャッシュ／アーティファクトソースから再構築する必要があります。また、影響を受けたマシンで使用した認証情報はローテーション／無効化し、置き換えるべきです。

特にGitHubユーザーは、「Shai-Hulud」という新しいリポジトリがないか確認し、あれば削除してください。

侵害されたアカウントでマルウェアリポジトリが発見

インタビューで、Ox Securityの研究者Moshe Siman Tov Bustan氏は、npmに貢献している開発者の一人がフィッシングの罠にかかり、認証情報が盗まれたのだろうと推測しています。

彼はこのマルウェアを「非常に悪質」と表現し、AWS、Google Cloud、Azureの認証情報を盗むと説明しました。

Ox Securityは、Shai-Huludリポジトリを含む34の侵害されたGitHubアカウントを発見したと述べています。その中には「data.json」というファイルがあり、攻撃者が被害者のGitHubアカウントにアップロードしたすべての侵害情報が含まれています。

彼は、開発チームに対し、開発者の認証情報窃取を困難にするためにハードウェアベースの2要素認証を導入し、短命なトークンを作成し、継続的インテグレーション環境ではデフォルトでインストールスクリプトを無効化し、アプリケーション導入前にクールダウン期間を設け、新しいパッケージバージョンの組織全体でのレビューを徹底するよう助言しています。これらの実践をソフトウェア部品表（SBOM）の自動ブロックリストと組み合わせることで、さらに強力な保護が得られます。

npmは継続的な標的

npmや他のオープンソースコードリポジトリは、ひとたびアカウントが侵害されるとマルウェア拡散の簡単な手段となるため、脅威アクターの標的となっています。

先週、非常に人気の高いnpmパッケージ18個が攻撃を受け、合計で週に20億回ダウンロードされていたことが報告されました。7月には、npmホストのJavaScript型テストユーティリティが標的となる別のハッキングも発生しています。

CISOへのアドバイス

SANs Instituteの研究部門長Johannes Ullrich氏は、CSOonlineに対し、この攻撃にはCISOの観点から2つの異なる脅威があると語りました。

第一に、組織が社内でソフトウェアを開発している場合、CISOは開発者が標的となり得ること、そして開発者のワークステーションが侵害されるとソフトウェアサプライチェーン全体が危険にさらされることを理解する必要があります。開発者とそのワークステーションには、特別に設計されたセキュリティソリューションが必要です。一般的なソリューションでは、開発者が直面する特有のニーズや脅威を十分にカバーできないと彼は述べています。

第二に、どんな組織でもソフトウェアを利用する場合は、ソフトウェアサプライチェーンを強化する必要があります。これには強力なサプライヤーとの関係構築と監視、そしてソフトウェアサプライチェーンリスクの理解が求められます。

「この特定の攻撃から一歩引いて見ても、フィッシングがうまく行われれば、開発者のような技術的に優れた従業員さえも標的にできることが改めて示されました」とUllrich氏は述べています。「CISOは、可能な限りフィッシング耐性のある認証の導入を強く求めるべきです。」

カナダのインシデントレスポンス企業Digital Defenceの責任者Robert Beggs氏は、今回の攻撃はGitHubインスタンスの強化（不要なアプリケーションの削除、すべてのプロジェクトのデプロイキーの検証、GitHub Secret Scanningアラートの有効化）と監視体制の整備を促すものだと付け加えました。

彼はまた、ソフトウェア部品表（SBOM）のような記録の有用性も再認識されたと述べています。「組織は、npm攻撃よりもさらに複雑になるであろう今後の攻撃に備えて、対応できる体制を整えておく必要があります」と彼は述べました。