セキュリティ研究者は、Packagist上の6つの悪意あるComposerパッケージを特定しました。これらは正規のOphimCMSテーマを装っていますが、OphimCMSは映画ストリーミングウェブサイトで使用されるLaravelベースのコンテンツ管理システムです。
パッケージはophimcmsネームスペースの下で公開され、通常のテーマファイルに見えるように設計されていました。しかし、フロントエンドコードのみを配信する代わりに、彼らは秘密裏にトロイの木馬化されたJavaScriptを配信し、主に偽のjQueryライブラリ内に隠されていました。
悪意あるパッケージには、theme-dy、theme-mtyy、theme-rrdyw、theme-pcc、theme-motchill、theme-legendが含まれます。分析によると、有害なコードはバンドルされたJavaScriptアセット内に配置され、PHPコードベース内には配置されていません。
これにより、パッケージは検出がより困難になりました。サーバーサイドのファイルのみを確認している開発者は、攻撃を見落とす可能性が高いからです。
研究者は、レポート公開時に悪意あるテーマはまだPackagist上で稼働しており、削除要求が提出されたと述べています。
主な攻撃方法は、正規に見えるjQueryファイルに追加の悪意あるコードを追加することでした。場合によっては、通常のjQueryクロージャの後にコードが追加されました。他の場合では、簡単な検出を避けるために、ファイル内により深く注入されました。
3つのテーマが見つかり、被害者の現在のページURLをuserstat[.]netに送信し、実質的にブラウジング活動を流出させていました。
theme-dy内の別のペイロードは、union[.]macoms[.]laから第2段階スクリプトをダウンロードしました。このインフラストラクチャは、複数のセキュリティ研究者によってFUNNULL Technologyにリンクされています。
条件が一致した場合、ユーザーはギャンブルまたはアダルトコンテンツページにリダイレクトされました。リダイレクトはwindow.location.replace()を使用し、ブラウザの戻るボタンが元のページに簡単に戻るのを防ぎます。
他のテーマは異なるペイロードを使用しました。あるものはデスクトップおよびモバイル広告を注入し、別のものは実リンクを新しいタブで開きながら現在のページを広告の目的地に強制することでクリックをハイジャックしました。あるテーマはフルスクリーンオーバーレイ広告を作成し、別のものは検査をブロックし、分析者をページから遠ざけるためにアンチデバッグトリックを使用しました。
このキャンペーンは、テーマおよびプラグインエコシステムがどのようにソフトウェアサプライチェーンリスクになる可能性があるかを示しています。これらのパッケージは通常のOphimCMSテーマのように見え、READMEファイルで正規のOphimCMSプロジェクトにリンクされていました。おそらく信頼を構築するためです。
影響は深刻です。悪意あるコードはサイト所有者のシステムだけでなく、訪問者のブラウザで実行されるからです。
これは、感染したテーマソケットをロードするすべてのユーザーが、URL流出、広告注入、クリックハイジャック、または不要なリダイレクトを経験する可能性があることを意味します。
6つのパッケージ全体で約2,750インストールがあるこのケースは、開発者がサードパーティパッケージを信頼する前に、バックエンドコードだけでなくバンドルされたJavaScriptアセットも監査する必要があることを思い出させてくれます。
翻訳元: https://cyberpress.org/packagist-themes-ship-malware/