- 新たなサプライチェーン攻撃により、少なくとも187のnpmパッケージが侵害され、ソフトウェアプロジェクト全体で開発者の秘密情報が狙われた
- Shai-Huludワームは認証情報の窃取、パッケージの改ざん、GitHub Actionsやnpmトークンを通じたマルウェア拡散を狙う
- 研究者らは、侵害されたパッケージ数が今後さらに増加する可能性が高いと警告
少なくとも187個の悪意あるnpmパッケージが発見され、これはソフトウェア開発者を標的とした大規模なサプライチェーン攻撃の一環です。
Socket、StepSecurity、Aikidoのセキュリティ研究者らが、数週間前にNxを標的としたグループと同一と思われる組織による継続中のキャンペーンを検知しました。
前回のキャンペーンと同様に、今回も攻撃者は開発者の秘密情報、ログイン認証情報、AWSキー、GCPやAzureのサービス認証情報、GitHubの個人アクセストークン、クラウドのメタデータエンドポイント、npm認証トークンなどを狙っていました。
多くのパッケージが影響
しかし、攻撃手法は進化していると研究者らは指摘しています。
「この攻撃の規模、範囲、影響は非常に大きい」と彼らは説明します。「攻撃者は以前の攻撃と同じ手法を多く使っていますが、さらに手口が巧妙になっています。」
今回、攻撃者はShai-Hulud(デューンのワームにちなんだ名前)というワームを作成しました。このワームは秘密情報を盗み出し、TruffleHogのようなツールやクラウドメタデータエンドポイントへのクエリを使ってGitHub上に公開するだけでなく、悪意あるGitHub Actionを仕込み、秘密情報を攻撃者が管理するWebhookへ送信し、ログに隠すこともできます。また、盗んだnpmトークンを使って、メンテナーが管理するすべてのパッケージを改ざん・再公開し、それぞれにワームを埋め込みます。
侵害されたnpmパッケージの中には、CrowdStrikeなどサイバーセキュリティ専門家のものや、週に数百万回ダウンロードされるものも含まれています。
CrowdStrike側も、リスクの軽減と被害最小化に努めました。
「公開NPMレジストリ(サードパーティのオープンソースリポジトリ)で複数の悪意あるNode Package Manager(NPM)パッケージを検出した後、迅速にこれらを削除し、公開レジストリ内のキーを積極的にローテーションしました」とCrowdStrikeの広報担当者はThe Registerに語っています。
「これらのパッケージはFalconセンサーでは使用されておらず、プラットフォームや顧客への影響はありません。現在、NPMと連携し、徹底的な調査を進めています。」
現時点で攻撃の影響を受けたパッケージは187個ですが、研究者らは今後さらに増加する可能性が高いと警告しています。現在、侵害の可能性があるパッケージの一部は検証待ちです。
出典:The Register
